私は、中堅・中小企業向けの情報システム企画・開発の業務に携わっています。最近、ある顧客のファイアウオール構築のお手伝いをさせていただきました。
インターネットというオープンなネットワークは、情報の共有を進め企業の生産性を飛躍的に高めました。一方で、新たなリスクを生み出しています。
(1) ウイルス感染による重要データの消滅、ネットワークの停止
(2) 外部からのハッキングによる不正侵入、機密データへのアクセス
(3) 企業情報の漏洩およびその不正使用
ファイアウオールというのは、この中で (2) 外部からの不正侵入を阻止するための装置で、インターネット(社外のネットワーク)と社内ネットワークの間に設置されます。
同社では、社内にある重要データに対して、ある特定の人(社員)からは参照することは認めても、その他の人(社員外)からは参照させないことを目的としてファイアウオールを導入しました。しかし、ファイアウオールを導入しただけで社内の重要なデータが守られるわけではありません。社外からの不正アクセスを阻止する一方、社員には自由なアクセスを確保するには、一定のルールを決め、それに基づきファイアウオールの設定を行う必要があります。いくら高価なファイアウオールを導入しても、このルールが甘いと不正アクセスを許してしまうことになります。
このルールは、「セキュリティポリシー」と呼ばれ、ファイアウオールという機器の設定に必要なだけでなく、企業にとって重要な経営資源の1つである「情報」を如何に管理するかの取り決めを書いたものです。
インターネットの時代になって、情報の管理は重要な経営課題となっています。情報の管理方法を定めた「セキュリティポリシー」は、すべての企業に必要な社内規定の1つとなっているのです。
■執筆者プロフィール
藤原 正樹(フジワラ マサキ)
中小企業診断士 公認情報システム監査人(CISA)
e-mail:masaki_fujiwara@nifty.ne.jp
コメントをお書きください