最低限必要なセキュリティとは? | Codebook | Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

セキュリティ情報専門サイト|Codebook by Machina Record > Articles > NEWS > 最低限必要なセキュリティとは?

最低限必要なセキュリティとは?

 

最低限必要なセキュリティとは?

 

オリンピック開催や台風などのニュースと共に、再びコロナウイルス変異株の感染が広がっています。ワクチン接種が進むと同時に、1年以上続いたコロナ禍もやっと出口に近づいてきたのか?とも思いましたが、まだまだリモートワークが必要な状況は続きそうです。

企業によっては突貫で始めたリモートワークもなんとなく慣れてきてしまって、ともすればもう形骸化して綻びが見えてしまっていたり、そもそもリモートで何が管理できているのかわからない、といった状況に陥っているかもしれません。

引き続き対応が必要となりそうなリモートワークを見据え、初心に帰って今一度社内のセキュリティを、最低限できているかどうかをポイントに見直してみてはいかがでしょうか?

 

セキュリティの基本

セキュリティの基本は何といっても「情報」です。この「情報」が漏洩、紛失、改ざん、などの状況になるとセキュリティインシデント発生となり、企業にとっては然るべき対応を行う事が求められます。また然るべき対応の中には法的な規制に基づくものも含まれるため、重要な情報を扱っている企業であれば、事前にその法規制を把握しておく必要もあります。

ISMSなど代表的な情報セキュリティ規格では情報を適切に管理するために、機密性、可用性、完全性、という切り口で、これからの情報取り扱についての管理方法を定めています。

 

参考:ISMS構築対応について

Pマーク(PMS)とISMSの違い、取得のメリットとは

 

情報はたくさんある

「情報」と一口に言っても、仕事で取り扱う情報は、部署によって、立場によって、契約形態によって、それぞれたくさんありますよね?

そこで、上記にもあげたISMSなどような代表的な情報セキュリティ規格では、まず守るべき情報を「情報資産」という形で洗い出して台帳化する事を要求しています。例えばPマークだと個人情報が守るべき情報となるので、取り扱う個人情報を全て洗い出して台帳で管理する、というようなイメージです。

ここで先ほど触れた「セキュリティの基本は情報」という意味をもう少し掘り下げていくと、セキュリティの基本は「守るべき情報」という解釈になると思います。そう、つまり「守るべき情報」を正しく定義しておかないと、セキュリティは始まりません。

 

最低限、とは言っても

最低限やっておいた方がいいセキュリティ、の1つ目の答えはこれまでの流れから「守るべき情報」の定義付けとその洗い出し、という事は、もうお分かりになったかと思いますが、この先にまだまだやる事はたくさんあります。検索サイトで調べてみると、最低限のセキュリティというポイントに絞っても様々なWebページが見つかります。この中でも特にお勧めなのはIPAの資料で、セキュリティに不慣れな担当者でも具体例を入れながらわかりやすく解説されており、とりあえず始めるという事であれば、まずはIPAの資料をベースに始めてみるのもいいでしょう。

ただ、資料で書かれている事はあくまで汎用的な話で、企業ごとに実装していく対策内容は異なってくるところもあり、進め方によってはせっかくセキュリティに時間をかけたのに全く効果的に機能していない、という事もありますので、対策を行う場合は目的を明確にしてその目的が達成されているか、という点を評価、検証していきながら進める事が重要です。

今回取り扱ったようなテーマについては8/17(火)開催のセミナーでも詳しくお話する予定なので、最低限のセキュリティはどう進めていいかわからない、IPAに資料ではわかりにくい、いまいち対応のイメージがつかない、など、セキュリティを始める、見直すタイミングでの不安や不明点、疑問質問などをお持ちの方是非ご参加下さい。

参考: IPA(独立行政法人情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」

 

*このセミナーは終了しました。