「人の脆弱性」がセキュリティ最大のリスク　どうやって「最悪の事態」を想定する？：事例で分かる、中堅・中小企業のセキュリティ対策【第17回】

どれだけシステムにセキュリティ対策を施しても、最後に残るのは「人の脆弱性」。全社員に「情報漏えいが起きたら大変なことになる」と意識付けるにはどうすればよいか――ポイントは「情報の洗い出し」です。

≫ 2019年04月01日 05時00分公開

[那須慎二，CVS、CISO]

関連キーワード

SNS | 社員教育 | セキュリティ | セキュリティ対策 | セキュリティポリシー

　「『野放しのテレワーク』はNG　自然にセキュリティ意識が上がるルール作りのコツ」では、テレワーク導入の仕組みを構築するために、PCの利用実態を時間単位で把握しながら運用ルールを作り上げる方法を紹介しました。利用実態を把握することは、必然的にセキュリティ強化につながります。

　セキュリティ対策において、最終的な脆弱（ぜいじゃく）性になるのは「人」です。どれだけシステムに強固なセキュリティ対策を施したとしても、介在する人に脆弱性があれば、そこが攻撃の入り口になってしまい、情報漏えいなどの事故が起こる可能性は否定できません。

　人の脆弱性をなくすためには、従業員の一人一人にセキュリティの重要性を認識してもらい、「情報を守るのは自分の仕事の一つである」と本人が理解することです。これはテレワーク利用者であるか否かは関係なく、PCやインターネットを利用しているビジネスパーソン全員に当てはまることです。

　「人ごと」から「自分ごと」に認識が変わった瞬間、具体的な行動につながるものです。そのためには、セキュリティ問題を身近に感じてもらわなくてはいけません。そのためにお勧めするのが「自分たちが取り扱っている情報の棚卸しと見直し」です。「実はこんなに重要な情報を扱っていたのか」「漏えいや紛失が起きたら大変なことになるぞ」と、事の重要性に気付いてもらうことで、自発的にセキュリティ対策を強化する方向に導くのです。

　具体的には以下のように取り組みます。

現在、自分が取り扱っている情報を「紙」と「電子データ」の2軸で洗い出す
洗い出した情報がどこに保管されているのかを整理する
洗い出した情報に対して優先順位を付ける（優先順位は「機密度」「重要度」ごとにそれぞれ「高」「中」「低」に分類）
優先順位の高い情報が「漏えい」「紛失」「喪失」した場合、最悪の状態としてどのようなことが起こってしまうかを想定する
最悪の状況を回避するために、何に着手すべきかを整理する

　それぞれの取り組みを具体的に考察してみましょう。

併せて読みたいお薦め記事

サイバーセキュリティ対策を講じる

深刻化する標的型攻撃

1．現在、自分が取り扱っている情報を「紙」と「電子データ」の2軸で洗い出す

　まずは、自分がどのような情報を保有し、利用しているのかを洗い出します。ここでは「Microsoft Word」「Microsoft Excel」などのアプリケーション情報を確認するのではなく、「情報の内容」を洗い出します（表1）。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

会員登録（無料）が必要です

邯壹″繧定ｪｭ繧

TechTargetジャパントップ中堅・中小企業とIT