【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
時代の要請に応える、セキュリティ・マネジメント「構築の実際」
自社のIT/情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する
(2008年07月31日)
企業・組織において情報セキュリティ・マネジメント体制/基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を継続・成長させていくうえでの大前提である。本稿では、今日求められる経営課題を踏まえながら、情報セキュリティに関するインシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。
平井哲生
みずほ情報総研 コンサルティング部 マネジャー
国内の情報セキュリティに関する動向
今日、企業・組織が事業活動を継続していくためには、コア・ビジネスに関する取り組みとともに、日本版SOX法や個人情報保護法などへの対応で必要になる内部統制の構築・強化や、コンプライアンス(法令順守)に対する全社的な意識向上などについても確実に取り組んでいくことが求められている。そして、これらの経営課題のなかでも欠くことができないものの1つが情報セキュリティ・マネジメントである。
2005年4月より全面施行された個人情報保護法は、情報セキュリティに対する社会の関心や認識を高めることとなった。同法の施行に前後して、多くの企業・組織が自社の情報セキュリティに関する対応を行い、情報セキュリティ・マネジメントの構築に取り組んだはずである。しかし、そうした取り組みを推進したはずの企業・組織であっても、システム障害、インターネットを経由した不正アクセス、個人情報をはじめとする重要/機密情報の漏洩・流出などの事件・事故を起こすところがあとを絶たず、頻繁にメディアで報じられているというのが実情だ。
情報漏洩の85%は「人的要因」
NPO日本ネットワークセキュリティ協会(JNSA)は毎年、「情報セキュリティインシデントに関する調査報告書」を発表している。2006年度のリポートによれば、2006年の1年間に発生した個人情報の漏洩事件の公表件数は993件(前年比96%)、漏洩人数(被害者数)約2,200万人(前年比250%)であった。前年比で見ると、公表件数は同規模でありながら、漏洩人数が大幅に増大するという結果となった。
表1は、この報告書を基に個人情報漏洩の原因をまとめたものである。同報告書によると、件数993件のうち85%以上が人的要因によるものであった。その内訳に目を向けると、人為ミス(紛失・置き忘れ、目的外利用など)が約30%、犯罪(内部犯罪・不正行為や不正持ち出し、盗難など)が約30%、技術的要素のある人為ミス(設定ミス、誤操作、管理ミス)が約25%と続き、「Winny」「Share」といったP2P(Peer-to-Peer)型のファイル共有/交換ソフトウェア(関連記事)を悪用したウイルス/ワーム感染による漏洩が12%あった。
| 表1:個人情報漏洩原因の分類 |
 |
特に、ファイル共有/交換ソフトに起因した漏洩事件がここ最近、急増している。この要因では、無断で社外に持ち出した情報を私有PCにコピーしたために漏洩してしまったというケースが半分を占めており、それも含めれば人的要因としてとらえられる情報漏洩事件・事故は全体の90%を超えることになる。
漏洩経路を見ると、発生頻度の高さという点では紙媒体が40%以上あったが、大規模な情報の漏洩という点ではファイル共有/交換ソフトやUSBメモリなどのリムーバブル・メディアによる持ち出しに起因するものが多くなっていることも特徴である。
なお、同報告書では、個人情報漏洩事件に対する想定損害賠償額算定式の検討も行っており、リスクの定量化を試みている。企業・組織の情報セキュリティ責任者にとっては、セキュリティ・リスクと対策にかかるコストとの関係を整理し、バランスのとれた効果的な取り組みを進めるうえで参考になる資料と言える。
