どこからはじめれがいいのか？情報セキュリティ

 

責任者を明確して情報セキュリティポリシーの策定

 

まず、情報セキュリティを推進するためには、情報セキュリティポリシーの策定から始める必

 

要があります。

 

情報セキュリティの重要性が認知されはじめたときに、まず始められたのが情報セキュリティ

 

ポリシーの策定です。

 

1999年ごろに大手企業で情報セキュリティポリシーの策定が盛んにおこなわれ、情報セキュリ

 

ティポリシーが発効れたのは、2000年ごろからになります。

 

1999年には、財団法人（現在：公益財団法人）金融情報システムセンターが「金融機関等にお

 

けるセキュリティポリシー策定のための手引書」を発行したことをきっかけに、金融機関での

 

情報セキュリティポリシーの策定が進展しました。

 

情報セキュリティポリシーでは、セキュリティの目的、範囲、推進体制、規程・マニュアルな

 

どの体系、情報資産、リスク評価、セキュリティ対策の整備・運用、経営者による監視、監査

 

などの情報セキュリテイに関する基本的事項を定めます。

 

また、PDCAサイクルによる情報セキュリティの、実態に沿った内容になっているかを常に

 

チェックし、絶えず見直し、改善を図ることが大切です。

 

企業などの組織内で情報セキュリティについて無関心な者、情報セキュリティ対策を実施しな

 

い者などをなくすため、情報セキュリティポリシーを制定して、情報セキュリティを維持向上

 

させるとこが大事です。

 

経営者や管理者、情報セキュリティ担当者が他の従業員に対して情報管理について指導したと

 

きに、反論されないようにするためにも、情報セキユリテイポリシーの策定をおこないましょ

 

う。

 

また、グループ共通の情報セキュリティポリシーを策定して、企業グループ全体の情報セキュ

 

リティ水準を向上させるとこが必要になります。

 

取締役会や社長による情報セキュリティポリシーの承認を得て、情報セキュリティポリシーに

 

権威つけないといけません。

 

 

 

迅速な対応をとるための情報セキュリティ推進体制

 

 

例えば､CISO(最高情報セキュリティ責任者）や、情報セキュリティ推進部門を設置するととも

 

に、子会社をおよび各部門に情報セキュリティ責任者・担当者を配置するようにします。

 

上記のように例のように情報セキュリテイポリシーで、情報セキュリティ推進体制を定めるこ

 

とになります。

 

こうした体制を利用して、情報セキュリティ教育をおこなったり、情報機器や媒体の点検を実

 

施したりします。

 

 

サイバー攻撃対策も情報セキュリティの範囲に含まれています、昨今、サイバー攻撃が問題に

 

なっていることからです。

 

情報セキュリティ教育にはサイバー攻撃に関係する事項も含まれています。

 

そして、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン（平

 

成27年3月版)」で、情報セキュリティポリシーの基本事項を規定する形（情報セキュリティ基

 

本方針）を公表しています。

 

また、サイバー攻撃が発生したときに、迅速に全社一元的な報告窓口として情報を収集、

 

そして、どのような対応を行うか判断した上で、適切な対処を行いうチーム、

 

CSIRT(ComputerSecuritylncidentResponseTeam)を設置する企業が増加してい

 

ます。

 

CSIRTとは、「インシデントに対応するチーム」でコンピュータやネットワーク上で何らかの

 

問題が起きていないかどうかを監視するとともに、万が一、問題が発生した場合にその原因解

 

析や影響範囲の調査を行なう組織（チーム）のことで、サイバー攻撃に発生した際に被害を最

 

小限に抑えるために、このCSIRTが不可欠となります。

 

また、CSIRTは、従来型のセキュリティ対策だけでは防ぎきれないことから、常日頃からサイ

 

バー攻撃に関する情報を収集したり、他の組織体のCSIRTとの連携を図って必要な対策を講じ

 

たり、収集した情報を分析して対応する役割を果たすことになります。

 

また、米国では、サイバーセキュリティ責任者を設置する企業もあります。

 

IoT(InternetofThings:モノのインターネット）といった新しいICTの発展に伴って、

 

サイバー攻撃も複雑になっている状況に対応するために、このような新しいポストを設置して

 

いるのです。

 

IoT(InternetofThings:モノのインターネット）とは、従来は主にパソコンやサーバー、プリ

 

ンタ等のIT関連機器が接続されていたインターネットにそれ以外のテレビやデジタルカメラ、

 

デジタルオーディオプレーヤー、HDレコーダー等のデジタル情報家電をインターネットに接続

 

することです。

 

 

 

まとめ

 

 

情報セキュリティポリシーを策定し運用するには、まず子会社をおよび各部門で責任者を明確

 

にして、情報セキュリティポリシー策定に携わる人材を組織化することが必要です。

 

情報セキュリティポリシーの基本的事項を定めますが、その手順は、業態、組織規模、目的、

 

予算、期間などによって大きく異なります。

 

そして、インシデントを100％完全に防ぐことはできないという考えに基づき、インシデント

 

への対応を場当たり的ではなく、事前の対応を含めて包括的に行う“インシデントマネジメン

 

ト”の中核を担う組織または機能CSIRTを構築する企業や組織が増えています。