事業のライフサイクルを理解して問題に適切に対応
事業をはじめる際は、事前にマーケティングを実施したり、
事業を始める場合には、事前にマーケティングを実施し、フィージビリティスタディ(事業や
プロジェクトの実現可能性がどの程度かを事前に調査・検討すること)を行ないます。
しかし、このときも忘れてはならないことは、情報セキュリティの視点から事業を分析するこ
とです。
「何年で黒字化するのか?」といった事業の採算分析に関心が集中してまいがちな事業活動の
検討ですが、そのため、事業に伴うリスク分析が十分に行なわれないことがあります。
しかし、事業を成功に導くには、採算性や要員の確保、工場や店舗などの建物、物流、必要な
情報システムなどもトータルに検討しなければなりません。
また、情報システムを利用しない事業はほとんどないので、特に情報システムの構築に際して
は、コンブライアンス違反が発生しないように検討する必要があり、
情報セキュリティの視点からリスクを分析しなければいけません。
さらに、安定的な軌道に事業が乗れった場合は、事業内容もビジネスプロセスも安定します。
しかし、このようなケースでも事業を進めていく過程で、いろいろな課題が発生します。
例えば、以下のような様々な課題があります。
物流ルートや運搬方法の見直し、組織・体制の変更や取り扱う商品や製造する製品の変更、従
業員の採用・退職・異動、原材料価格の変動など、課題によって柔軟に対応することが求めら
れます。
そして、当然、情報システムの安定運用やサイバー攻撃の手口が新たに生まれれば、それに応
じた対応。
システムの改修、機器のリプレイス、システムの再構築などといった問題も発生します。
また、事業自体を廃止しなければならない場合の社内外の環境変化もありますが、
この場合には、事業活動で生じたノウハウや様々な情報を適切に廃棄する必要があります。
事業の継承が行なわれる時には、情報システムの移管、データの移管・統合といった情報セ
キュリティに関係する問題が発生しやすいので、発生した問題にも適切に対応しなければなり
ません。
事業開始時の情報セキュリティの留意点は?
情報セキユリテイについては、事業を開始するときには、次のような点に留意することが必要
です。
(1)事業開始に関連する情報保護
新しい事業計画に関連する情報は、決めたサーバに保存して厳格なアクセス管理を行うこと
が。
新たな分野の事業を開始するという情報は、公表するまで社外秘にしておく必要があります。
また、電子メールの通信制限や暗号化対策などを講じる必要もあり、
なお、公表してからは、このような対策は不要となりますので、情報セキュリティ対策には時
間軸を考えた対策が重要です。
(2)情報システムを利用することによるリスク評価
情報システムの構築にあたり、それがどのようなリスクがあるのかを分析します。
例えば、パッケージソフト、クラウドサービス、SNS、BYOD(BringYourOwnDevice)の利用
などに伴うリスクを機密性、可用性、インテグリテイの視点から分析する必要があります。
(3)セキュリティ対策
セキュリティ対策を検討は、利用する情報システムのリスク評価の結果を受けて、それに対す
るして実施します。
セキュリティ対策自体は直接的な利益を生みませんが、そのため、セキュリティレベルを下げ
たセキュリテイ対策が講じられる場合がありますので注意が必要です。
事業運用時のセキュリティ情報セキュリティの視点からの注意
(1)セキュリティ対策の運用
アクセス管理、バックアップ、ネットワーク監視、ウイルス監視などの対策を計画どおり運用
し、運用の結果、問題点を明確にして、適時かつ適切に改善することが重要です。
ですので、事業開始時に構築されたセキュリティ対策を確実に運用していかないといけませ
ん。
そして、新事業にあたりPDCAサイクル構築の必要があります。
(2)新たなリスクに対しての情報収集と対策
情報収集して、事業の開始時に想定していたリスクに変化がないかどうか確認します。
変化がある時には、それに対応したセキュリティ対策を講じます。
(3)システムの適切な運用して、障害の発生状況を監視
障害の発生状況を監視しシステムの運用管理、変更管理、障害管理などを適切に実施しなが
ら、必要な改善措置を講じます。
事業廃止時の情報セキュリティの注意点
事業の廃止、及び移管に伴って、情報資産には各種データを含むものもありを適切に廃棄し、
または移管するようにしなければなりません。
情報セキュリティの視点からは、例えば、次のような点に注意するとよいでしょう。
(1)不要となった情報資産の廃棄
事業の廃止や移管に伴って必要がなくなった業務上のシステムやデータなどの情報資産を確実
に廃棄します。
廃棄に関しては、管理が不十分になりがちなので、十分に注意はらう必要があります。
(2)情報資産の活用
情報資産の中でも活用できる情報がある場合には、移管することによって事業承継先などに活
用を図ります。
この時に、コンブライアンス違反が生じないように知的財産の権利を把握し留意します。
曖昧にしないために責任者・担当者の明確化が重要
企業では、事業がスタートしてから終了するまでの間に、様々な事業を行なっていることか
ら、人事異動が行なわれます。
事業内容が適切に引き継がれるとよいのですが、人事異動時の引継ぎで、すべての内容が引き
継がれるわけではありません。
例えば、前任者が管理していた古い情報機器や記録媒体などが、古い書類が入った段ボール箱
が事業所の片隅に積まれていたり、倉庫に置かれたままになっていたりします。
その結果、機器や媒体が紛失したり、誤って書類が廃棄されたとしても、気づかないことがあ
りますが、こうしたことが発生しないようにするために、事業の責任者・担当者を明確にして
おくことが必要です。
また、事業の責任者は、その情報管理には一定の作業時間がかかることを、認識しておくこと
や情報管理という仕事の重要性を認識しておくことが重要です。
まとめ
情報セキュリティマネジメントを効率よく行うための手法が、PDCA(Plan – Do -Check -Act
の略)です。
情報セキュリティ対策は一度行なったら終わりではありません。
情報セキュリティ分野は、常に積極的に対策を行なっていないと、新たな脅威に対応できない
という側面をもっているため、環境の変化に合わせて絶えず、見直しと改善が求められます。
組織のセキュリティ対策における目標達成レベルを継続的に維持改善するために
Plan(計画)-Do(実施)-Check(点検・監査)-Act(見直し・改善)というPDCAサイクルを繰り返し
行うことが重要です。