あなたの会社の情報セキュリティは大丈夫ですか？／池内 正晴

１．はじめに

 

　昨年に公開された新しい「ITコーディネータ・プロセスガイドラインVer1.0」

における改定ポイントのひとつとして、セキュリティ＆リスク管理についての記

述が多くなっている。以前のガイドラインでは、セキュリティについて明示的に

記述している部分は下流部分の運用サービス・デリバリフェーズのみであったが、

今回のものでは上流フェーズである経営戦略フェーズから「リスク評価」という

項目で取り上げられているのをはじめ、各フェーズの随所にセキュリティ＆リス

ク管理に関する記述が盛り込まれている。

 

２．情報漏洩のリスクの重要性

 

　企業が生産活動を行い、存在し続けていくためには、さまざまな戦略により競

争力を確保し、顧客のみならずビジネスパートナーや地域社会など多くの関係者

に対して価値のある活動を続けていかなければならない。この価値を見出すため

には、優れた製品やサービスを適したタイミングで安価に提供できるようにする

などの、攻めの活動が重要なのは、言うまでもない。しかし、いかに効果的な攻

めの活動を行ったとしても、内部の機密情報が外部に漏れるなどの事故によって、

企業の存続に致命的なダメージを与えられる可能性がある。そのため、経営戦略

はセキュリティやリスクの管理にも十分に配慮したものである必要がある。

　雑誌の特集記事などで、情報セキュリティ対策について書かれているのをよく

目にする。そのなかには、情報システムに万全セキュリティ対策を行えば、「こ

れでもう、あなたの会社は安心です」と思わせるような記事も、しばしば見受け

られる。

　企業が活動を行っていれば、「新製品の企画」「顧客リスト」「商談の記録」

など、数多くの情報が社内に存在しており、それが外部に流出すれば競争力の低

下や社会的信用の失墜など、大きなダメージを受けることになる。これは、IT化

を進めているか否かにかかわらず起こりうる事態であり、情報システムのセキュ

リティ対策という局所的な対応で万全の対応ができないということは明白である。

 

３．ＩＴ化に潜むセキュリティリスク

 

　企業が保有している情報のセキュリティを確保する対策として、その情報が関

係者以外に奪われることが無いように、侵入阻止や施錠などの物理的な保護を行

うことは、すでに常識的に実践されている。しかし、情報漏えい事件の事例をみ

てもわかるように、関係者の故意または過失により社内の情報が外部に流出する

といった状況が数多く発生している。これを防止するためには、社内規則・制度

の見直しやガイドラインの整備を進めるとともに、社員の教育を行っていくなど

の全社的な取り組みが必要となってくる。

　社内業務IT化を進めることにより、多くの情報が電子データ化されて蓄積され

ていくこととなる。電子化されたデータの特性として、物理的に非常に小さな媒

体に大量のデータを格納することができる。たとえば数百ページある紙の資料で

あれば容易に持ち歩くことは困難であるが、このデータを電子データ化すれば小

さなＵＳＢメモリに格納し、それをポケットに入れて持ち歩くことは容易である。

しかし、その小さなＵＳＢメモリを紛失した場合の被害は数百枚の文書を紛失し

た場合と同じであるので、ちょっとした不注意が今まででは考えられなかった規

模の事故につながる可能性があるのである。さらに、悪意を持っている社員がい

れば、大量の情報を他の社員に気付かれること無く持ち出すことが容易になるの

である。

　ＩＴを活用した情報武装化は、企業経営にとって強力な武器となる反面、情報

漏洩のリスクが増大してしまうという諸刃の剣なのである。そのため、これを安

全な片刃の剣に変えるためのセキュリティ対策が重要になってくるのである。

 

４．万全の情報漏洩対策をめざして

 

　社内情報の保護を進める際に、まず初めに、守るべき情報とは何であるのか、

そしてそれはどこにあるかということを考える必要がある。この情報は、電子デ

ータに限らず、紙ベースでファイリングされた物もある。この紙ベースの情報を

電子データとして保存（もちろん、前項のセキュリティ対策をしっかりしたシス

テムである必要がある）することにより、安全性を高めることが可能となる。紙

ベースの情報では、誰が何時、どの情報を参照したかを、確実に把握することは

困難である。電子データとして保存されたデータであれば、その情報を参照する

ためには、コンピュータの端末を操作する必要があり、その操作内容をログとし

て保存しておけば、誰が何時、どの情報を参照したかを確実に把握することが可

能である。そして、このログを適宜確認することにより、各利用者が機密情報を

適切に利用しているかをチェックすることによって、不適切な利用を抑止する効

果がある。ただ、注意しなければいけないのは、情報を利用するため使用したプ

リントアウトなどを放置されてしまうと、せっかくの機密情報保護が台無しにな

ってしまう。情報漏洩防止の最終防衛ラインは利用者のモラルということになり、

ガイドラインの制定や社員の教育が重要な要素となるのである。

 

------------------------------------------------------------------------

■執筆者プロフィール

 

　 池内　正晴　（Masaharu Ikeuchi）

   学校法人聖パウロ学園

       光泉中学・高等学校　教務部 情報担当

   ITコーディネータ

　 E-mail: ikeuchi@mbox.kyoto-inet.or.jp

---