金融機関でもシステム障害を起こしているし、上場企業でもセキュリティー事故は起きている。情報システムの安全性は重要視されつつあるが、人は何をもって安全と判断し、利用しているのか。ここ数年は、企業は顧客に安心を与える為に、セキュリティーのロゴやマークを使うことで安全をアピールしてきた。このような取り組みは、セキュリティー認証制度の一部に過ぎない。そもそもセキュリティー認証制度がどのようなものなのか、詳しく調べると、システムの全てを保証しているものではない。そして、認証取得しても、事故は次々と起きている。そこで、これまで発生したトラブルを踏まえ、認証制度の効果、そして課題について考えてみたい。●セキュリティー事故を減らす方法は無数に存在する情報システムのセキュリティー事故を減らす手段は一つとは限らない。その証拠に、実際にトラブルに遭遇した企業は、社員教育、社内規則の見直し、技術的なセキュリティー製品の導入など、複数の対策を導入する。もちろん、多くの企業は事後処置でなく、予防策を実施している。しかし、技術革新が早いシステム変更の多い分野では、予防策が陳腐化し、効果を発揮しないことが起きる。特定された脅威に限定した予防策、新たな脅威には追加的な予防策を講じる必要がある。この結果、システムに関するセキュリティー事故への予防策は費用が増加する傾向にあり、経営者も頭を悩ませることになる…【執筆:情報セキュリティアナリスト 杉崎仁】──この記事には続きがあります。全文はScan Security Management本誌をご覧ください。◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
