ここでは、企業や組織における情報セキュリティの体制構築にあたり、経営判断を行なう際に注意すべき視点についてまとめます。
情報セキュリティとは企業、組織の情報資産の機密性、完全性、可用性を保証することです。
いわゆるセキュリティ対策と考えればどの組織でも昔から行なわれてきたことです。
現在でも残っているところがありますが、昔は地主や資産家の家には蔵が建っていました。
お金持ちの象徴で、この蔵には財産や金品の盗難を防ぐだけでなく、火災などの災害から財産を守る役割もありました。
重要な資産を日常的に生活する場から堅牢な場所に隔離し、アクセスを制限することで、セキュリティを守ると同時に、防火、防災の意味での堅牢な設備が整えられていたといえるでしょう。
蔵にはさまざまなものが蓄えられることから、目録が整備され、出し入れの記録が取られていたという記録も残っています。
重要な資産を特定し、安全な場所に隔離してアクセス制限を行い、情報資産のログを管理することは、現在の情報セキュリティでも必要なことです。
銀行の窓口で預金を引き出す行為も同様です。
窓口係が預金引き出しの申し込み手続きを行ない、通帳や金額の確認を行なった後、実際のお金の引き出し行為は窓口の後ろに控えている別の係が担当します。
この別の係が金額を確認し、再び窓口係にお金を渡し、初めて引き出しが行なわれます。
この仕組みは引き出し金額を二重にチェックするだけでなく、窓口係が顧客の請求金額を書き換え、不正にお金を引き出すといった内部犯行への対策にもなります。
一般に権限を分離させる仕組みです。
これは情報セキュリティの仕組みの中で、ロール(役割)ベースのアクセス制御やデータベースの管理の中などに取り入れられています。
以上の例はお金や重要資産を対象としたセキュリティですが、情報及び情報システムを対象物としたのが情報セキュリティなのです。
情報は大部分が情報システムで蓄積、処理されるので、重要な情報とその情報が蓄積、処理される情報システムを外部及び内部の脅威に対してどう守るのかが課題となってきます。
また、現在の情報システムはインターネットによって外部に接続されています。
情報システムをビジネスで活用していく上でインターネットの利用は避けられませんが、外部からの攻撃を受ける入り口にもなりえてしまいます。
現代の企業や組織のIT技術への依存度は増す一方ですが、その分情報セキュリティが重要なリスク管理になってきているといえます。