企業経営に欠かせない「情報セキュリティ」とは。

セキュリティへの取り組みで、信頼される企業ブランドを形成。
変革の時代に求められる情報セキュリティ

顧客や取引先、株主をはじめとするステークホルダーへ継続的に価値を提供するとともに、環境対策などの社会的責任を積極的に果たしていく・・・。時代を超えて存続する企業に共通しているのは、経営の健全性と高い倫理観です。
コンプライアンスの徹底が、市場からの信頼につながり、競争力の源泉ともなっている今、内部不正や管理ミスに起因する情報漏えいをひとたび引き起こせば、ブランドイメージの崩壊にもつながりかねません。
企業存続の危機を未然に防ぐために、情報セキュリティも新たな視点でとらえ直してみませんか。内部からの情報漏えいが起こりにくい環境を、どのように築いていくか。ビジネスの効率を落とすことなく、いかに強固なガバナンスを実現するか。
セキュリティ対策で、企業の価値を向上させていくための「3つのポイント」をご紹介します。

本格化するクラウド時代。今後は、基幹業務は自社システム、グループウェアはSaaSなど、自社システムとクラウドサービスを使い分けて利用するケースも増えていくことでしょう。ICT環境が大きく変化しようとしている今、見直しておきたいのが情報セキュリティです。
最適なICTインフラを選択するためには、自社で保有するシステムや情報に求められる機密性、可用性を見極める「情報セキュリティの可視化」が欠かせません。また、システムが混在する環境では、ログイン用のIDも複数になるため、パスワード管理が困難になります。こうした状況になる前に、企業内における情報セキュリティ対策の技術的な基本方針を明確化するアーキテクチャーを整理することをお勧めします。

拡大図

情報漏えいを恐れるあまりに、社外へのパソコンの持ち出しを禁止すれば、外出先からメールを確認できずに対応が遅れたり、会社のサーバにアクセスできないために資料を取りに戻らなければならないといった事態が生じ、ビジネスの効率が低下するかもしれません。このように、セキュリティ対策を講じた結果、ビジネスの効率をダウンさせてしまうのでは本末転倒です。大切なのは、対症療法的な対策ではなく、企業活動全体を視界におさめたうえで、バランスのとれたセキュリティ対策を展開していくこと。それが、安全かつ効率的なICT活用への近道です。

これまで企業の情報セキュリティを高めるために講じられてきたのは、IDやアクセス権限管理の徹底、認証の強化といった予防的対策でした。しかし最近では、機密情報へのアクセス権限を持っている関係者による内部犯罪や、日々発生する新たな外部攻撃など、予防的対策だけでは十分なセキュリティを保つことが難しくなってきています。また、今後、クラウドサービスの活用が進むと、システムが複雑化し、あらかじめすべての脅威を洗い出しておくことがさらに難しくなってきます。

そこで、強化したいのが “発見的対策”アプローチです。発見的対策とは、たとえば「退職者や休職者のIDによるサーバへのアクセス」や「アクセス権限を与えられたユーザーによる大量のお客様情報のダウンロード」など、いつもと異なる“ふるまい”を検知。未然に防ぐだけでなく、万一セキュリティ事故が発生した場合も、迅速に発見し対処することで、被害を最小限に抑えることを可能にします。

［2010年10月15日 公開］

---

---