セキュリティポリシー策定講座(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

セキュリティポリシー策定講座(1)

特集 特集

会社のパソコンからインターネット接続が可能だろうか?

パソコンからインターネット接続が可能ということは、外部からウイルスや不正アクセスなどの脅威にさらされるということである。またインターネット接続されていなくても、社内の人間による情報漏えいリスクがある。こういった情報に対する脅威やリスクをどう考えていけばよいのだろうか。

●『情報』が会社の第四の資産に

NetSecurityの『改ざん情報』を見ると、毎日のように名前を聞いたことがないような中小企業のサイトが改ざんされている。またある会社では辞めた社員に顧客情報を持ち出され転職先で営業活動をかけられてしまった。結局、開拓した顧客を奪われてしまい不正競争防止法での争いに発展した。また何者かによって不正に持ち出された顧客情報が名簿販売業者へ流れる事件もあいかわらず続いている。背景には情報の持ち出しが容易になった点と持ち出した情報がお金になる点がある。

少し前まで紙の台帳で管理していた顧客情報は今ではパソコンやサーバでデータベース管理するのが当たり前となった。またメディアが大容量化、高機能化したことによりUSBメモリーにドラッグするだけで、何十万件もの顧客情報を瞬時にコピーできるようになっている。他社から持ち出された顧客情報を自社のパソコンに導入すればDM発送などのマーケティングにすぐ使えるため、年収や購買履歴など属性が豊富な個人情報ほど値段が高くなっている。

会社の資産といえば以前は『人、物、金』であったが、今や『情報』が第四の資産となっている。顧客情報だけでなく、社員の個人情報や商品ごとの仕切り値、製品を作る上での配合表、ノウハウなど、会社内には様々な情報が蓄積されている。これが守るべき『情報資産』である。

あるメーカーではノウハウを注ぎ込み協力会社と苦心して工程で使う工作機械を作りあげた。ところが協力会社が海外の同業者にほぼ同じ仕様で工作機械を売ってしまい、製品の品質面で差をつけられず価格競争に巻き込まれてしまった。それ以来、会社ではノウハウや情報を門外不出とし、工程で使う工作機械などは全て内製化するように見直した。

コカコーラが原液の調合比を秘伝としている話は有名だか、日本の大手電機メーカーの技術者を海外メーカーがヘッドハンティングするのも技術者が持つノウハウや情報に価値があるからである。

中には建設会社が役所へ入札価格をメール送信したが各社の名前と金額が入った一覧表を誤って添付してしまった。役所に談合がばれてしまい、名前の載っていた会社はすべて指名停止になるという笑い話のような情報漏えい事件もある。

会社のコアコンピータンスといえば今までは設備などの『物』であったが現在ではノウハウや情報の形として存在している場合が多い。会社の強みを維持するためにも情報管理を徹底していかなければならない。中小企業といえども情報資産を守るセキュリティ管理に無関心でいられない時代となった。

ただセキュリティは大切だと言いながら、ITベンダーのすすめで言われるままにファイアウォールを導入したり、ウイルス対策ソフトをいれたりと場当たり的な対応をしている会社がほとんどである。

では、会社としてどう対応すればよいのだろうか。その一つがセキュリティポリシーの作成である。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
 http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×