おすすめ記事

人材育成の効率的な進め方 企業に役立つ手法,プログラム,ツール紹介

情報セキュリティ対策の極意 リスクの数値化からガバナンスまで、1から学べる総まとめ

「あの有名企業でも情報漏えいか…。うちは大丈夫だろうか?」

大企業の情報管理に関する不祥事の記事を読むたびに、不安に襲われてしまう情報セキュリティ担当、コンプライアンス教育担当の方は少なくないのではないでしょうか。

いまどき、情報セキュリティ対策を「なにも実施していない」という企業はないでしょう。しかし、「うちは大丈夫」と言い切れる企業もほぼないと思います。

なぜなら、情報セキュリティの「安心・安全」は、企業がいくら頑張っても、予算をかけても、目に見える形で構築できるものではないからです。

それは、従業員一人ひとりの肩にかかっており、裏を返せば(少なくとも)従業員の数だけ、情報セキュリティ上のリスクが存在することになります。

それゆえ、形としての「完璧」を目指す情報セキュリティ対策は、従業員一人ひとりを縛り上げるような結果になってしまいがちです。

安全性を求めて対策を強化すれば業務効率が落ち、抜け穴をなくそうと制度上の機密性を高めれば制度自体の可用性が失われてしまいます。その影響をダイレクトに受けるのは、いつも従業員です。

では、どのような情報セキュリティ対策が真に合理的と言えるのでしょうか。

これに対して本稿が用意している解は、「有機的な情報セキュリティ対策の仕組み構築と、従業員の意識の底上げ」です。

企業は人でできています。全ての従業員が、自社の情報セキュリティの考え方と必要な手続きを理解し、自主的かつ応用的に業務に活用していくこと。

その中でPDCAサイクルを回し、会社全体で自社の情報資産を守っていく体制を作ること。これを実現することはすなわち従業員を「リスクの源」と見なすのではなく「信頼できるパートナー」に変えるプロセスに等しいでしょう。

マイクロソフトは2020年6月、攻撃があっても動じない「Security Posture」という考え方を提唱しました。それによると、今後の企業のセキュリティ対策では、攻撃ごとの対策を行うよりも、脆弱性のない状況を作り上げ、維持していくことが重要になります[1]

これが実現できたとき、「うちは大丈夫」と言えるようになるのではないでしょうか。通り一遍のツールやルールを導入するだけでは「安心・安全」はやってきません。

ぜひ本稿を参考に、情報セキュリティのスパイラルアップを目指しましょう。

[1] Japan News Center「攻撃があっても動じない IT 環境のカタチ: Security Posture,Microsoft,https://news.microsoft.com/ja-jp/2020/06/18/200618-it-environment-security-posture/(閲覧日:2021618日)


1. 情報セキュリティ対策、事始めは「現状把握」のための3ステップ

上で述べた「有機的な情報セキュリティ対策」とはどんなものでしょうか。

それは、それぞれの対策に根拠があり、明確な目的が設定され、業務とのつながりが明らかになっている状態です。そしてそのことが従業員に明示され、PDCAサイクルが回っている状態です。

これを実現するためには、次の3つのステップが必要です。

(1) 自社の「情報資産」を特定する
(2) それぞれの情報資産について、価値を評価する
(3) それぞれの情報資産に対する「リスク」を明らかにする

言い換えると、
(1) わたしたちが守るべきものはなにで、
(2) それにはどんな価値があり、
(3) どんなリスクを有しているか、
をクリアにするということになります。

これは、対策を打つ前のいわば「現状把握」に当たります。

何事においても言えることですが、何かを計画・実行するにあたって「己を知る」作業、「現在地を確認する」作業というのは非常に重要です。一つ一つ、丁寧にみていきましょう。

1-1. 自社の「情報資産」を特定する

情報セキュリティ対策で守るべき対象は「情報資産」です。情報資産には有形のものと無形のものがあります。

有形資産とは、例えばサーバやコンピュータなどのハードウェア、ネットワーク機器、紙に印刷されたデータなどです。

無形資産とは、例えば、顧客データ・人事データ・営業データなどのデータ、会話や電子メール、ブランド、従業員のスキルや能力から人の記憶まであります。

知識の経済化が進む今日では、特に組織における無形資産の重要性が増しているといえます。

また、資産は「その資産を所有・管理している当事者でなければ特定が難しい」という問題を孕んでいます。自社の資産が何かを特定する際は想像で特定するのではなく、当事者やその管轄部署の責任者を含めたヒアリングが必要です。

1-2. 情報資産としての価値を評価する

自社の資産価値が特定できたら、情報セキュリティの観点から評価を行います。評価軸は「機密性」、「完全性」、「可用性」の3つです。

この3つは、日本工業規格 JIS Q 27001「情報セキュリティマネジメントシステム-要求事項」定義されている情報セキュリティの構成要素であり、頭文字をとって「CIA」と言われます。

<情報セキュリティの構成要素「CIA」>
Confidentiality:情報の機密性
Integrity:完全性
Availability:可用性

「機密性」、「完全性」、「可用性」とはなにか、JIS Q 27001の定義を元に、それぞれ見て行きましょう。

・機密性(Confidentiality)
“認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。”

つまり、「機密性」とは情報へのアクセスのしやすさ(しにくさ)を指します。たとえばアクセス権の設定、ID・パスワードによる認証などが機密性を高めるための手段となります。

・完全性(Integrity)
“資産の正確さ及び完全さを保護する特性。”

つまり、「完全性」とはその情報資産が正確かつ完全な状態に保たれることの重要性を指します。重要性が高い場合は、その情報資産は改ざんや間違いから保護されなければなりません。

たとえばファイアウォール、侵入検知/防御システム、アクセス制御、デジタル署名などが完全性を高めるための手段となります。

・可用性(Availability)
“認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。”

つまり、「可用性」とはその情報資産が利用できることの影響度合いを指します。これが高い場合、許可された利用者は必要な時に情報や関連する資産にアクセスできなければなりません。

同時に、情報の紛失や破損、システムの停止などから保護されていなければなりません。たとえば電源対策、ハードウェア強化、バックアップ/リカバリ、回線やシステムの二重化などが可用性を高める手段となります。

ではこの3つの要素を使ってどのように資産を評価していくのでしょうか。

日本情報処理開発協会の「法規適合性に関するISMSユーザーズガイド」では、それぞれの要素の評価基準を以下のように例示しています[2]

<機密性の基準例>

資産価値クラス説明
1公開第三者に開示・提供可能
内容が漏洩した場合でも、ビジネスへの影響はほとんどない
2社外秘組織内では開示・提供が可能(第三者には不可)
内容が漏洩した場合、ビジネスへの影響は少ない
3秘密特定の関係者又は部署のみ開示・提供可能
内容が漏洩した場合、ビジネスへの影響は大きい
4極秘所定の関係者のみに開示・提供可能
内容が漏洩した場合、ビジネスへの影響は深刻かつ重大である

<完全性の基準例>

資産価値クラス説明
1不要参照程度でしか利用されていないので問題がない
2改ざんされると問題があるが、ビジネスへの影響はない
3重要完全性が維持できないとビジネスへの影響は深刻かつ重大である

<可用性の基準例>

資産価値クラス説明
1情報が利用できなくてもビジネスに支障がない
2情報が利用できないとビジネスに支障はあるが、代替手段で業務ができる。または、情報が利用できるまでの遅延が許される
3必要時に確実に情報が利用できないとビジネスへの影響は深刻かつ重大である

こういった指標を自社で定め、資産を評価していきます。

例えば、営業概況レポート(週次の役員会議で売上などが報告されるレポート)であれば、以下のような評価になります。

・機密性:3
 →営業戦略が見えるため競合他社に流出するとビジネスに大きな影響が出る
・完全性:2
 →改ざんされると問題があるが、修正が可能なためビジネスへの影響はない
・可用性:2
 →現状が見えにくくなるため支障はあるが、代替手段で対応が可能

資産価値は、3×2×2=12です。

上記はあくまで基準例になるため、数値を掛け合わせるのではなく、結果を足す、最も数値が高いものを採用する、など、自社に適した内容を検討してください。

POINT1

資産価値を評価する目的は優先順位を決めることです。
つまり、全ての情報資産を評価することに意味はありません。定量化して意味がある対象に絞って実施しましょう。

 

POINT2

上記の評価方法について、自社には少し過剰、あるいは細かすぎると感じられる方は、もっとシンプルな評価方法を活用することもできます。

例えば、ある情報資産が漏洩した場合の「経営[3]への影響」という観点で、以下の4段階で評価を行う方法があります。
1:ほとんどない
2:小さい
3:大きい
4:深刻かつ重大

これ以外にも、「短期的な影響」と「中・長期的な影響」といった時間軸を入れて分けるなど、自社にあった評価方法が考えられます。

1-3. 情報資産に対応する「リスク」を明らかにする

「情報資産(守るべきもの)とその価値」を明らかにしたら、それぞれの情報資産について「事故(インシデント)が発生する可能性」すなわち「リスク」を明らかにしていきます。

インシデントは「脆弱性に脅威が結びつく」ことで起こります。

よってリスク(可能性)を明らかにするためには、その構成要素である「脅威と脆弱性」について明らかにする必要があります。

そのためのステップは、次の3つで構成されます。

(1) 脅威を評価する
(2) 脆弱性を評価する
(3) リスク値を算出する

1つずつ確認していきましょう。

(1) 脅威を評価する
情報セキュリティにおける「脅威」とは何でしょう。それはインシデントを起こす「要因」となるものです。

GMITS(Guidelines for the Management for IT Security[4])によると、情報セキュリティにおける脅威は大きく「人為的脅威」と「環境的脅威」の2つに分類され、人為的脅威は「意図的な脅威」と「偶発的な脅威」の2つに分類されます。

<情報セキュリティにおける脅威>

脅威例示
人為的脅威意図的脅威不正アクセス、盗聴・盗視、盗難、ウイルス、情報持ち出し など
偶発的脅威ヒューマン・エラー、故障、停電、誤動作 など
環境的脅威地震、台風、雷、火事 など

これを見ていただくと分かる通り、脅威がゼロになることは決してありません。

一方で、これらがどの程度の脅威なのかを評価することは可能です。脅威の度合いは「発生可能性」で評価します。

発生可能性は、頻度によって「低い」「中程度」「高い」を数値で表現する方法が一般的です。

日本情報経済社会推進協会の「ISMSユーザーズガイド」[5]では、以下のような例を示しています。

<情報セキュリティにおける「脅威」の発生可能性>

発生可能性区分説明
1低い発生する可能性は低い。発生頻度は1年に一回あるかないかである。
2中程度発生する可能性は中程度である。発生頻度は半年以内に一回あるかないかである。
3高い発生する可能性は高い。発生頻度は1ヶ月に1回以上である。

引用元:一般財団法人 日本情報経済社会推進協会『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応』,平成26年4月14日,p.107. 

こういった判断基準で脅威の度合いを評価します。

(2) 脆弱性を評価する
情報セキュリティにおける「脆弱性」とは、脅威によって利用される可能性のある弱点や欠陥のことで、「バグ」や「セキュリティホール」といった表現をされるものです。

この脆弱性と脅威が結びついて情報セキュリティ・インシデントが発生します。

情報資産には必ず何かしらの脆弱性がありますが、脆弱性はそれ単体ではインシデントにはなりません。このため、脅威が存在しない脆弱性は情報セキュリティ上対策を施す優先順位を下げてよいということになります。

脆弱性の評価では、情報資産がもつ弱点の度合いを評価します。何も対策を施さず、弱点がそのままになっているのであれば脆弱性は「高い」と言えます。

このように、脆弱性も脅威同様、「低い」、「中程度」、「高い」の3段階で評価するケースが多いです。

では、脆弱性はどこに、そしてどのように存在するのでしょうか。

脆弱性は「バグ」や「セキュリティホール」といったハードウェア、ソフトウェア上の弱点・欠陥に存在するものと、適切な運用がされていないために情報セキュリティが維持できなくなっているものの2種類が存在します。

以下は脆弱性をチェックするための「脆弱性」と「関連する脅威」の例です。

脆弱性の分類脆弱性の例関連する脅威の例
環境・施設ドア、窓などの物理的保護の欠如盗難
不安定な電源配給設備停電、誤作動
災害を受けやすい立地条件洪水、地震など
ハードウェア湿度変化に影響を受けやすい故障、誤作動
記憶媒体のメンテナンス不足故障、情報漏えい
ソフトウェア仕様書の不備ソフトウェア障害、誤作動
アクセスコントロールの欠如なりすまし、改ざん、情報漏えい
不適切なパスワード不正アクセス、改ざん、情報漏えい
監査証跡(ログ管理)の欠如不正アクセス
バックアップコピーの欠如復旧不能
文書化の欠如オペレーティングミス
通信保護されていない通信経路盗聴
ケーブル接続の欠陥通信傍受、通信不能
非暗号化情報漏えい
文章保管不備盗難、紛失
コピーに関する教育の不徹底盗難、情報漏えい
人事要員の欠如ミス、不満によるいやがらせ
清掃スタッフなどに対する監督不在盗難、システム破壊
不十分なセキュリティ訓練オペレーションミス、復旧遅延
セキュリティ意識の欠如情報漏えい、システム破壊
その他予算不足さまざまな脅威
不適切な保守サービスの利用故障時に復旧不能
納入情報の保管不備信用の失墜

引用元:駒瀬彰彦「情報セキュリティマネジメントシステム基礎講座(4):ISMS構築で重要なリスクアセスメントの手法:GMITS-Part3」,『@IT』http://www.atmarkit.co.jp/ait/articles/0210/17/news001.html(閲覧日:2020年12月1日)

このように、情報資産と脅威をセットにして「脆弱性の度合い」を確認してください。

(3) リスク値を算出する
ここまでのステップで求めてきた値をこの式にあてはめ、情報資産のリスク値を算出します。

リスク値を求める式[6]は以下の通りです。

リスク値 = 資産の価値 × 脅威 × 脆弱性

算出にあたっては以下のようなマトリックス表を使います。

<リスク値算出のためのマトリックス >

脅威123
脆弱性123123123
資産の価値1123246369
2246481261218
33696121891827
4481281624122436

引用元:一般財団法人 日本情報経済社会推進協会『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応-リスクマネジメント編』,2015年3月31日,p.47.

この表を使って情報資産ごとにリスク値を算定します。数値が大きいほどリスクが大きい情報資産です。

例えば、ある情報資産が、
脅威=3(機密性、完全性、可用性の評価のうち最も数値の高いものを採用)
脆弱性=2
資産の価値=4
だった場合、リスク値は24(3*2*4)になり、以下のようにプロットされます。

脅威123
脆弱性123123123
資産の価値1123246369
2246481261218
33696121891827
4481281624122436

ここまでで、
(1) わたしたちが守るべきものはなにで、
(2) それにはどんな価値があり、
(3) どんなリスクを有しているか、
が明らかになりました。

この結果を踏まえ、リスク値の高いものから順に、それぞれの「対策」をどうしていくかを検討していきます。

POINT3

リスク値の算出によって対策を取るべき情報資産の優先順位がクリアになり、最適なセキュリティ対策の選択と決定が可能になりますが、全てを実施対象にすると相応のコストがかかります。

コストを抑えたい場合は、資産価値が高いと評価された情報資産に限定するとよいでしょう。

[2] 日本情報処理開発協会『法規適合性に関するISMSユーザーズガイド-JIS Q 27001:20-6(ISO/IEC 27001:2005)対応-』p.64-65.
[3] ここでは、経営=「人的コスト・金銭的な損失・機会損失・ブランド(信用)の失墜」をイメージします。
[4] ISO(国際標準化機構)のテクニカルレポートISO/IEC TR 13335のこと。
[5] 一般財団法人 日本情報経済社会推進協会『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応』,平成26年4月14日,p.107.
[6] 岡本卓馬「情報セキュリティにおけるリスクの定量化手法」,『UNISYS TECHNOLOGY REVIEW 第 86 号』,https://www.unisys.co.jp/tec_info/tr86/8606.pdf(閲覧日:2020/12/1)


2. 情報セキュリティ対策を検討する

自社が有する情報資産についての「現状把握」が済んだら、いよいよ対策を講じていきます。

情報セキュリティ対策には対策を施す4つの領域(種類)と、それぞれに5つの機能があります。

効果的なセキュリティ対策を施していくには、各領域でどの機能を備えていくかを十分に検討していく必要があるのです。

まず、対策を施す領域(対策の種類)とは、以下の3つです。

対策の種類手段
技術的対策ウイルス対策システム・ファイアウォール・侵入検知システム・認証システムなど
人的対策従業員教育(研修・eラーニング) 、情報セキュリティポリシーやガイドラインの策定、ルール作り、またそれらを徹底するためのPDCAサイクルの構築など
物理的対策オフィスへの入退室・施錠管理、情報機器やUSBメモリ・ 紙などの記録媒体の管理(移動・輸送・廃棄)

そして、それぞれの領域に対し、5つの機能が定義されます。

対策の機能
抑止「インシデントの発生を未然に防ぐ」
情報セキュリティポリシーの策定・運用、情報セキュリティ教育の実施、運用(遵守)状況の監査、社内ネットワークの監視など
予防「被害を受けにくくする」
定期メンテナンス、脆弱性検査(ぺネトレーションテスト)、ソフトウェアのバージョンアップ、パッチの適用、不要なサービスやユーザアカウントの停止・削除など
防止「脅威に対し直接働きかける」
アクセス制御、ユーザ認証、認証の強化、デジタル署名、ハードウェアの冗長化 など
検知・検出「インシデントを発見・通知する」
リアルタイムのウイルス、不正アクセスの監視、ログ解析、ハードウェアの稼動状況監視、重要施設への監視カメラの設置 など
対応(回復)「被害・影響の最小化し、正常な状態に回復する」
バックアップデータの出力・保存、リストア手順の整備、ログの出力と保存、不測事態発生時の対応手順や体制の整備、不測事態を想定した対応訓練、など

情報セキュリティ対策は、優先度の高いものから、この5つの機能をバランスよく組み合わせて行っていくことが肝要です。

なお「抑止」と「予防」は似ていますが、「抑止」は「人という脅威」への対策であり、 「予防」はハードウェアやネットワークの脆弱性への対策と考えてください。

先ほど「効果的なセキュリティ対策を施していくには、各領域でどの機能を備えていくかを十分に検討する必要がある」と申し上げましたが、それは、企業が実施する情報セキュリティ対策が往々にして「防止機能の実装」に偏りがちなためです。

システムを導入したり強化したりすることで防止機能を強化することは簡単ですが、それらは同時に、
・コストがかかる
・制約が従業員にかかる場合は生産性を損なう可能性がある
・手間が増えることにより従業員の不満が高まる
という問題を孕みます。

つまり、「厳しくすることは簡単だが、失うものもある」ということを考慮する必要がある、ということです。

「『守り』」を固めるためにコストを掛けるのはやむなし』というスタンスになりがちな情報セキュリティ対策に、例えば「利益貢献」といった「攻め」の観点を加えることで、あなたの会社独自の情報セキュリティ対策が構築できるはずです。

最近では、サイバー事故により生じた損害賠償責任、対策費用などを包括的に補償する保険も出ています。このような保険の活用は、情報セキュリティ対策のコストを削減する方法として、検討の価値があります。

 

参考)一般社団法人 日本損害保険協会「サイバー保険とは」,『サイバー保険』,
http://www.sonpo.or.jp/cyber-hoken/about/(閲覧日:2021年5月25日)


3. 対策の成否を握る情報セキュリティの「マネジメント」と「ガバナンス」

情報セキュリティ対策を成功に導くには、適切なフレームワークと体制が必要です。

そのために必要なのが情報セキュリティマネジメントと情報セキュリティガバナンスです。

情報セキュリティマネジメントとは、企業・組織における情報セキュリティの確保に組織的・体系的・継続的に取り組むことです。

情報セキュリティガバナンスとは、情報セキュリティマネジメントを機能させ、組織内に徹底させるための仕組み(経営者の方針決定、状況のモニタリング、及び利害関係者に対する情報開示と利害関係者による評価)を構築・運用することです。

情報セキュリティマネジメントは、経営者が情報セキュリティにかかわるリスクに関して企業・組織を規律することであり、情報セキュリティガバナンスはその経営者を規律すること、と言い換えてもよいかもしれません。

3-1. 情報セキュリティ「マネジメント」のフレームワーク

情報セキュリティマネジメントのフレームワークは、情報セキュリティマネジメントシステム(ISMS: Information security management system)と呼ばれています。

そしてISMSのプロセスはPDCAサイクルによって管理されます。

ここでは「PDCAサイクルとは何か」ということについて触れませんが、ここまで触れてきたことを実行することで、理想的なPlanを立てるのに十分な情報が手元に集まっているはずです。

その情報を基に立てたPlanからこのサイクルを回すにあたって大きな影響を及ぼすのが情報セキュリティガバナンスです。

3-2. 情報セキュリティの「ガバナンス」のフレームワーク

情報セキュリティガバナンスには、以下のようなフレームワークが定義されています。

図表)情報セキュリティガバナンスのフレームワーク

出典:経済産業省『情報セキュリティガバナンス導入ガイダンス』平成21年6月,https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf(閲覧日:2021年4月15日)

各ステップの説明は以下の通りです。
・Direct(方向付け):経営層による目的・目標の設定
・Monitor(モニター):PDCAサイクルのモニタリング
・Evaluate(評価):ガバナンスの評価、方向付けの評価
・Oversee(監督):方向付け、モニタリング、評価の遂行確認・監査
・Report(開示・報告):利害関係者への説明

ISO/IEC27001の要求事項である「5.経営陣の責任」では、経営陣のコミットメントや経営資源の運用管理が明確に位置付けられています。

そしてこれらの中には、以下のようなリスク管理の重要責任が述べられています。

・リスクに対して対策を実施するかどうかを判断する基準であるリスク受容の基準
・会社にとってそのリスクは受け入れて良いという水準を決定する

この「経営陣の責任」こそが、情報セキュリティガバナンスの本質を明確に示しているといえます。

3-3. ガバナンスとマネジメントの関係

情報セキュリティガバナンスと情報セキュリティマネジメントは相互に連動し、一体となって運用されなければなりません。

先ほど挙げた経済産業省の「情報セキュリティガバナンスのフレームワーク」を見ると、情報セキュリティに関する具体的なPDCAを回すのはマネジメントの管轄であることが分かります。

図表)情報セキュリティガバナンスのフレームワーク(再掲)

経営陣の役割は、方向付けを行い、現場が回すPDCAにコミットし、その進捗や達成状況をモニタリングすることです。

これに対し、現場には経営陣の取り決めた方向性に則って具体的な対策を打ち出し、着実にPDCAサイクルを回していくことが求められます。

さらに、マネジメントのもとで採用された情報セキュリティ対策群を「コントロール」と表すことにすると、企業の情報セキュリティの取り組み全体が、「ガバナンス」「マネジメント」「コントロール」の体系でさらに明確にモデル化することができます。

情報セキュリティ対策になぜ「計画」が必要か

 

2015年度の情報漏えいによる想定損害賠償総額がどれくらいかご存知でしょうか。

 

2002年以降 毎年「情報セキュリティ・インシデントに関する調査報告書」が日本ネットワークセキュリティ協会から発表されている数値によると、2016年6月に発表された報告書では2,541億3,663万円とされています。2014年は大規模なインシデントがあり、1兆6,642億3,910万円でした。

 

特定の企業や組織を標的に徹底した事前調査を経て行われる標準型攻撃、ルータや監視カメラといったIoT機器を何十万台と動員して行われた大規模な分散型サービス妨害(DDoS)攻撃など、サイバー攻撃の高度化・巧妙化が進み、情報セキュリティ対策の重要性は増す一方となっています。

 

これを受け、政府は2015年1月に前年に可決・成立したサイバーセキュリティ基本法に基づいて、各省庁に対し強い権限を持つサイバーセキュリティ戦略本部を設置しました。近年、このように情報セキュリティ対策を強化する動きが活発化しています。

 

情報資産に対する脅威は次々にその形を変えて進化し続けており、企業にとっても情報漏えいリスクは増大しているといえるでしょう。

 

情報セキュリティ対策は世の中の動きに合わせて常に見直しと改善(PDCAサイクル)を施す必要があるのです。

 

最適なP(Plan)を立てることで、手間を減らしながら持続的に発展する対策のスパイラルを回していくことが可能になります。


4. 対策を実行する際に押さえておきたい4つのポイント

冒頭で「従業員の数だけ、情報セキュリティ上のリスクが存在する」と述べました。

情報セキュリティ対策は企業にとって脅威となるリスクに対処するために行われ、そのリスクは「人」にあります。ゆえ、対策の内容はどうしても従業員の自由度を下げる方向に傾きがちです。

もちろん、厳しいルールで縛ればリスクは減るでしょう。しかし、同時に業務遂行の効率が下がったり、精神面の負担が大きくなるといった別の課題が発生し、長期的に見ると利益が減ってしまう可能性があります。

統制を意識するあまり、本来組織としての利益を追求するために行われる対策が目的化してしまい、その先にある目標が従業員間で共有されず、ルールが形骸化してしまう、といった事態もよくあるお話です。

ツールの利用制限や情報へのアクセス制限によって業務の遂行を「阻害されている」と感じた従業員が増えると、アカウントの貸し借りなど、ルールをかいくぐる悪しき習慣が生まれてしまう可能性もあります。

また、ルールがあるからと安心してしまうと、パスワードを盗み見たり関係者を装って資料を閲覧するなど、技術的な対策では対処できない「ソーシャルハッキング」を誘発してしまう恐れもあります。

そうすると、情報セキュリティ対策を具体化する際は、厳しいルールを敷かず、それでいてリスクを減らせる方法を考えるのがベストということになります。

もちろんこれは容易なことではありませんが、ヒントとして提示したいのは「教育」と「エンゲージメント」です。

教育の目的は、従業員一人ひとりの意識を変えることです。

情報セキュリティに対する意識、有事の際の事業インパクトへの理解などは、定期的に教育を行うことで深めることができます。

特に、同業他社の事例や、自社で過去に起きた事例を題材にした学習は、当事者意識を高めることにつながります。

同時に、会社に対する帰属意識や、所属する組織への愛着を深める施策も検討すると良いでしょう。

エンゲージメントの向上には離職防止やパフォーマンス改善など様々な効果がありますが、情報管理やコンプライアンスに関する意識の改善にも役立ちます。

自分のふとした行いが身内に仇するリスクを認識し、日々の言動に注意を払うことを習慣化(無意識的にできるようになる)できることが目標になります。

こうした風土を組織に根付かせることができれば、従業員同士でよりよい効果を生んでいくことができるでしょう。

上記のことを踏まえ、ここでは具体的な情報セキュリティ対策を検討する際の考え方として、以下4つのポイントをご提案します。

1. ルール化することの弊害を考える
2. 従業員の意識の底上げを行う(教育、エンゲージメント施策など)
3. 対策をコスト化するのではなく、組織としての利益につなげるという発想を持つ
4. 対症療法(個別の症状に対する対策)ではなく根本治療を考える

このように考えると、従業員をより信頼し、厳しく統制を敷かずとも自由度高くツールや情報を使い、よりよくパフォーマンスするための土壌を作ってあげられるのではないでしょうか。

もちろん簡単なことではありませんが、年々増す情報セキュリティ上のリスクと、日本企業の使命とされている「生産性の向上」の板挟みの中で、いたちごっこではない真に効果的・合理的な情報セキュリティ対策とは何か、と考えると、それはつまり「組織づくり」の一部なのではないかと、そのように思えます。

「情報セキュリティ」をeラーニングで社員教育


eラーニング教材:情報セキュリティのエッセンス

企業を守るための情報セキュリティの基礎知識を身につける

コンピュータ社会ならではのトラブルから企業を守るためには、一人ひとりが高いセキュリティ意識を持つことが大切です。そのためには、この記事にあるように、ポイントを押さえた効果的な教育が必要です。
本教材では、ビジネスパーソンとして知っておくべきコンピュータに関する情報セキュリティの基本的な知識と、具体的な対策法について学習します。

本教材をeラーニングとして配信することで、効率的に「情報セキュリティ」の社員教育をすることが可能です。


5. まとめ

本稿では、合理的な情報セキュリティ対策の構築について解説しました。

業務の効率化や制度の可用性を維持しつつ、セキュリティ対策を強化するには、有機的な情報セキュリティ対策の仕組みと従業員の意識の底上げが重要です。

有機的な情報セキュリティ対策の仕組みとは、それぞれの対策に根拠があり、明確な目的が設定され、業務とのつながりが明らかになっている状態のことです。

そして、そのことが従業員に明示され、PDCAサイクルが回っている状態を指します。これを実現させるためには、以下の3つのステップが必要です。

(1) 自社の情報資産を特定する
(2) それぞれの情報資産について、価値を評価する
(3) それぞれの情報資産に対するリスクを明らかにする

上記の要素を考慮し、自社が有する情報資産についての現状把握を済ませたら、具体的な情報セキュリティ対策を講じます。

カギとなるのは、「情報セキュリティマネジメント」と「情報セキュリティガバナンス」です。

情報セキュリティマネジメントとは、企業・組織における情報セキュリティの確保に組織的・体系的・継続的に取り組むことです。

情報セキュリティガバナンスとは、情報セキュリティマネジメントを機能させ、組織内に徹底させるための仕組みを構築・運用することです。

情報セキュリティマネジメントと情報セキュリティガバナンスに定義されているフレームワークを使うことで、経営陣と現場の双方にどのような役割が求められているのかを明確に理解できます。

情報セキュリティ対策の「完璧」を目指すため、従業員を厳しいルールで縛ればリスクは減るでしょう。

しかし、個々の精神的負担が大きくなったり、ルールをかいくぐる悪しき習慣が生まれる可能性があります。

よって、情報セキュリティ対策を具体化する際は、厳しいルールを敷かず、従業員一人ひとりの意識を変えることがベストといえます。

例えば、従業員に対する定期的な教育によって、情報セキュリティに対する意識や有事の際の事業インパクトへの理解を深めることができます。

また、会社に対する帰属意識や、所属する組織への愛着を深めるなどの、エンゲージメントを向上させることも情報管理やコンプライアンスに関する意識の改善に役立ちます。

企業にとって貴重な財産である情報をしっかりと守るためには、情報セキュリティ対策が不可欠です。

しかし、方法を誤ると企業に不利益をもたらす可能性もあります。合理的な情報セキュリティ対策とはなにかを考察し、自社に必要な制度の構築を行いましょう。

参考)
日本情報処理開発協会『法規適合性に関するISMSユーザーズガイド-JIS Q 27001:20-6(ISO/IEC 27001:2005)対応-』p.64-65.
一般財団法人 日本情報経済社会推進協会『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応』,平成26年4月14日,p.107.
一般財団法人 日本情報経済社会推進協会『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応』,平成26年4月14日,p.107.
駒瀬彰彦『情報セキュリティマネジメントシステム基礎講座(4):ISMS構築で重要なリスクアセスメントの手法:GMITS-Part3』,「@IT」
http://www.atmarkit.co.jp/ait/articles/0210/17/news001.html(閲覧日:2020年12月1日)
一般財団法人 日本情報経済社会推進協会
『ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応-リスクマネジメント編』,2015年3月31日,p.47.
岡本卓馬「情報セキュリティにおけるリスクの定量化手法」,『UNISYS TECHNOLOGY REVIEW 第 86 号』,https://www.unisys.co.jp/tec_info/tr86/8606.pdf(閲覧日:2020/12/1)
一般社団法人 日本損害保険協会「サイバー保険とは」,『サイバー保険』,
http://www.sonpo.or.jp/cyber-hoken/about/(閲覧日:2021年5月25日)
経済産業省「情報セキュリティガバナンス導入ガイダンス」平成 21 年 6 月,
https://www.meti.go.jp/policy/netsecurity/downloadfiles/securty_gov_guidelines.pdf
(閲覧日:2021年4月15日)

 

無料eBook『eラーニング大百科』
教育担当がこっそり開くパーフェクトガイド

社員教育や人材開発を目的として、
・eラーニングを導入したいが、どう選んだらよいか分からない
・導入したeラーニングを上手く活用できていない
といった悩みを抱えていませんか?

本書は、弊社が19年で1,400社の教育課題に取り組み、

・eラーニングの運用を成功させる方法
・簡単に魅力的な教材を作る方法
・失敗しないベンダーの選び方

など、eラーニングを成功させるための具体的な方法や知識を
全70ページに渡って詳細に解説しているものです。

ぜひ、貴社の人材育成のためにご活用ください。

プライバシーポリシーをご確認いただき「個人情報の取り扱いについて」へご同意の上、「eBookをダウンロード」ボタンを押してください。