中小企業のための情報セキュリティ対策

第4回 リスクポイントを洗い出そう

2013年2月8日
東京商工会議所
掲載:東商新聞 2012年2月10日号

中小企業診断士 新木啓弘氏が、情報セキュリティ対策について、機密性だけでなく、使いたい時に使える可用性のポイントなどを解説します。(全6回)

 前回までに、一般的なツールを用いて、現状を把握していただいた。まずは、そのツールに出てきた項目をそのまま情報セキュリティ規程(ルール)にしてしまうことも一案である。しかし、経営に生かすならば、自社の業態特性を反映させたものにステップアップしておきたい。今回は、自社にあった施策を抽出する方法について述べていく。 
 まずは、業務フロー図を書いてみることからはじめよう。すでに、業務フロー図があるならば、それを活用していこう。もしなければ、これを機に作っておきたい。情報セキュリティの取り組みだけでなく、業務の棚卸しにより、見直しすることにもつなげたい。工程ごとにどんな情報がどのように動いているのかを確認しながらあるべき姿を考えていこう。
 手間をかけず効率的に進めていくならば、次の2つの方法を推奨する。
 一つ目は、A4程度の用紙に、枠を5つ書いて欲しい。「自社」を真ん中とし、上側に「インターネット」、左側に「仕入先」、右側に「顧客」、下側に「取引先」という具合だ。「自社」を中心として、それぞれの枠間では、どんな情報がどのようなやり取りをしているだろうか。自社内でコントロールできる領域とそれ以外の領域との境界をまたぐ情報の取り扱いについては、優先的に考えておきたい。
 もう一つは、機密性、完全性、可用性という3つの観点が維持できない状態になったときに、ビジネスへの影響が大きい情報を特定していこう。印刷業、広告業では、公開前の情報、製造業であれば設計情報、ITベンダーであれば、機器の設定情報であるかもしれない。
 すべての情報について一律の対策を打つ必要はない。たとえば、情報の授受管理をすべてのケースにおいて実施することを考えてみよう。当然ながら、業務に支障をきたし、規程(ルール)は作ったが守られないという状態が生まれてくることは目に見えてくる。重要情報に絞って対策を実施することは、社員にとっても重要な情報は何なのかを考えながら、かつやりすぎず効率的に有効な対策を実施していけるものになる。
 重要情報を特定したところで、①メディア変換(スキャンやコピーなど)、②移送(手持ち、電子メールなど)、③消去・破壊、④保管。以上4つのポイントにおける現状を確認し、必要に応じて、追加の対策を情報セキュリティ規程(ルール)に、組み込んでいくことが、有効な進め方である。


著者略歴
中小企業診断士 新木啓弘(しんき よしひろ)
 1970年生まれ。2007年4月中小企業診断士登録。ビジネス競争力を高めるための経営基盤として、情報セキュリティマネジメントシステムの構築を推奨。身の丈にあった構築支援の他、経営相談、IT経営応援隊事業などの活動を主に行っている。

掲載:東商新聞 2012年2月10日号

以上