情報セキュリティ　メールマガジン

■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「ＹＥＳ」か「ＮＯ」か、考えてみてください。
　

Ｑ.極秘資料の入ったフォルダに「極秘」とラベル付けをするのは、宝のありかをわざわざ示すようなものであり、セキュリティ的に問題があるので、あえて何も印を付けないというのも、一つの対策である。

（１）ＹＥＳ（そう思う） （２）ＮＯ（そうは思わない）

※解答及び解説は本文末尾に記載しています。

■情報セキュリティ基礎講座
「自分は関係ない」と思っていませんか？

ＩＳＭＳのコンサルティングを始めるにあたって最初にお話するのは、規格の中身でもなければ審査の内容でもありません。

「自分は関係ない」という意識を捨てるところから始めましょうということです。

社長やプロジェクトチームの方の意識がいかに高くても、実際のセキュリティ面では「自分は関係ない」方が一人でもいると、そこが大きなセキュリティホールになってしまう。

逆のケースもあります。従業員の意識は高くても、社長のスタンスが「後はまかせた」ではせっかく構築したＩＳＭＳも本来の効果を期待できません。

このセキュリティ通信の中でも情報漏洩の事件・事故をご紹介していますが、大半が誤って書類を廃棄してしまった、電車の中にPCを置き忘れた、宛先を間違って送ってしまった等のヒューマンエラーによるものです。これは組織内の全ての方々にセキュリティホールとなる可能性があるということを意味しています。

「そんなことは言われなくても分かっている」あるいは「自分だけは大丈夫」と思っていませんか？

一番危険なのは「分かっていなくて実行できない」人ではなく「分かっているけど実行しない」人です。
「分かっているけど実行しない」人をなくすことが、ＩＳＭＳの目的のひとつです。

そして、実行することができる環境を作っていただくのは、社長のお仕事なのです。

■[連載]〜コンサルの現場から〜
リスクの度合いに応じて、対策を図る

「ＩＤカードを社員に持たせ、機械で入退室管理をしないとＩＳＭＳの認証は取れないのか？」

入退室管理について、クライアントからこのようなことを良く聞かれる。
答えとしては、認証のための絶対必要条件ではないということである。

当然、こういった対策は、やらないよりもやった方がよい。さらには、指紋認証や最近流行の静脈認証などバイオメトリックス(生体認証)を導入すれば、それだけリスクは軽減されるはずである。

ただし、そこで問題となるのは、「コスト」と「業務への支障」である。機械管理をすればコストはかかるし、さらにバイオメトリックスまで入れると費用はケタ違いとなってくる。また忘れてならないのは、業務への影響である。

そもそもセキュリティの実践と業務効率とは背中合わせのものであり、セキュリティレベルをあげるほど、会社の中は窮屈（きゅうくつ）になる。

常にオフィスの入口に施錠をして、社員でもIDカードを機械に読み込ませねば入れないとすると、安全性は増すが、業務効率は明らかに落ちる。中にはカードを忘れたり紛失して中に入れない者も出てくるであろう。

では、どうすればよいのか。

結論は、「リスクの度合いに応じて、対策を図る」ということである。

個人情報が何万人分もあり、なおかつ身体特性や金融債務などのセンシティブな情報が含まれているとすれば、リスクは高いのでかなりの対策が必要であり、入退室の機械管理や生体認証も必要となるかもしれない。ただし、リスクが低い場合はそれなりの対策でよいわけである。

ＩＳＭＳの考え方としては、「まずはリスクがどの程度あるのか分析（リスクアセスメント）をし、それぞれのリスクに応じて対策を立てる」ということである。その際、「コスト」や「業務への支障」その他を考慮して、最終的には経営陣の判断となる。

結果的に機械管理をするのか、しないのか、その判断に至るプロセスがしっかりとしていて、なおかつ経営陣の承認がなされていれば、認証取得できる。

ＩＳＭＳは、マネジメントシステムの認証であり、パフォーマンスの認証ではないのである。

---------------情報セキュリティ意識チェック 解答・解説--------------

Ｑ.極秘資料の入ったフォルダに「極秘」とラベル付けをするのは、宝のありかをわざわざ示すようなものであり、セキュリティ的に問題があるので、あえて何も印を付けないというのも、一つの対策である。
（１）ＹＥＳ（そう思う）
（２）ＮＯ（そうは思わない）

（２）ＮＯ（そうは思わない） が正解
「極秘」とラベルを貼るのは確かにリスクがあります。
わざわざ大切なものであることを教えるようなものです。 しかしながら何も印を付けないと、極秘と分からずに、見ることを許可されていない社員が見てしまう可能性もあり、それはそれでセキュリティ上問題があります。 どうしても「極秘」のラベルを貼ることに抵抗があれば、社員には分かるが、外部には分からないような別の名称（もしくは記号）を付けるのも一つの やり方です。