メールマガジンの定期配信をご希望のお客さまは以下のボタンからお申込みください。

配信申込⁄停止

(情報掲載日:2016年4月11日)

どうする?どうなる!「ニッポンの人材」

情報セキュリティ体制を整備する

VOL.51


企業・組織を標的としたサイバー攻撃による被害が深刻化しており、この脅威に対処する情報セキュリティ体制の整備が急務となっています。企業は常に現状のセキュリティ体制を把握し、新しい脅威に対処できるのかを判断しなければなりません。どうすれば効率的な情報セキュリティ体制が整備できるのか、サイバー攻撃の現状を含めて解説します。

情報セキュリティ、サイバー攻撃とは何か

●情報資産、情報セキュリティとは何か

情報資産とは、企業が持つ財務、人事、顧客、取引、技術などの情報そのものと、それらを収集し管理する情報システム全般を指します。この情報資産をサイバー攻撃や人為的なミス、情報の持ち出しなどの脅威から守り、正常に維持することを、情報セキュリティと呼びます。

情報セキュリティに求められる特性としては以下のようなものが挙げられます。ただ情報を守ればよいのではなく、それにアクセスする人の真偽や行った行為の把握までを含めたコントロールを行うことが求められます。

情報セキュリティに求められる特性
情報セキュリティに求められる特性

●サイバー攻撃とは何か

サイバー攻撃とは、コンピューターシステムやネットワークを対象に、データの破壊や窃取、改ざんなどを行うことです。近年、企業・組織を標的としたサイバー攻撃が増加し、その対応が求められています。サイバー攻撃の種類には以下のようなものがあり、その手法はより複雑化、高度化しています。

サイバー攻撃の主な種類
サイバー攻撃の主な種類
(那須慎二『小さな会社のIT担当者のためのセキュリティの常識』ソシム社を参考に作成)


情報セキュリティ対策の実施状況

●セキュリティ侵害の状況

それでは実際にどのようなセキュリティ侵害が起きているのでしょうか。総務省「平成26年通信利用動向調査」(※1)によれば、企業通信網またはインターネットを利用している企業の過去1年間のセキュリティ侵害を見ると、40.1%の企業が何らかの被害を受けています。その被害状況は、ウィルスの発見または感染が37.3%と最も多く、スパムメール、DoS攻撃、不正アクセスと続きます。

情報通信ネットワークの利用の際に発生した過去1年間のセキュリティ侵害の状況(複数回答)
(総務省「平成26年通信利用動向調査」より。企業通信網構築企業又はインターネット利用企業に占める割合。有効回答数2057社)

●セキュリティ侵害による事故が与える影響

セキュリティ侵害による事故が起こった場合、業務に影響が出るだけでなく、顧客や取引先への損害賠償や信用低下による売上減などの間接的な被害にまで広がる可能性があります。企業はこのリスクの高さを十分理解しておく必要があります。

情報セキュリティ事故が企業に与える影響


●セキュリティ対策の現状:総務省「平成26年通信利用動向調査」(※1)より

@企業の情報セキュリティ対策状況

では企業は現状でどのようなセキュリティ対策を講じているのでしょうか。同調査のセキュリティ対策の実施状況によれば、「何らかの対応をしている」と答えた企業は97.2%と高水準になっています。

実施内容を聞いたところ、「パソコンなどの端末にウィルス対策プログラムを導入」88.6%、「サーバにウィルス対策プログラムを導入」65.6%、「ID、パスワードによるアクセス制御」54.2%と、何らかの物理的な対策をほどこすケースが多くなっています。人の管理教育にあたる「社員教育」や「セキュリティポリシー(企業全体の情報セキュリティに関する基本方針)の策定」を行っている企業は全体の3分の1程度しかなく、ウィルス対策プログラム頼みの現状がうかがえます。


セキュリティ対策の実施内容(複数回答)
セキュリティ対策の実施内容(複数回答)
(総務省「平成26年通信利用動向調査」より。企業通信網構築企業又はインターネット利用企業に占める割合。有効回答数2074社)


A企業が感じている問題点

同調査で企業にインターネット、企業内LAN等を利用するうえでの問題点を聞いたところ、「運用・管理の人材が不足」40.9%、「ウィルス感染が不安」39.7%、「運用・管理の費用が増大」37.1%、「セキュリティ対策の確立が困難」36.3%、「従業員のセキュリティ意識が低い」31.8%となりました。セキュリティ対策そのものに加え、運用・管理を行う人材の不足や費用負担の大きさも問題として認識されていることがわかります。


インターネット、企業内LAN等を利用するうえでの問題点(複数回答)
(総務省「平成26年通信利用動向調査」より。企業通信網構築企業又はインターネット利用企業に占める割合。有効回答数2074社)

※1:総務省「平成26年通信利用動向調査」
http://www.soumu.go.jp/main_content/000369001.pdf

情報セキュリティ体制をいかに構築するか

●情報セキュリティ体制づくり

・情報セキュリティ人材の確保・育成
セキュリティポリシーを策定、運用するには、責任者を明確にして、ポリシー策定に携わる人材を組織化することが求められます。しかし、現状では情報セキュリティについて専門的な知識・技能をもって実行する人材は限られており、外部から確保できない場合には社内で人材を育成することが必要です。

育成の目安として活用できるのはIT系の資格です。高度な内容であれば情報セキュリティスペシャリスト試験がありますが、それ以外の資格も活用できます。平成26年度からITパスポート試験では情報セキュリティ関係の出題比率を高くするなど、この分野に注力しています。また、政府は新たに情報セキュリティに関する国家資格「情報処理安全確保支援士」の創設を柱とした関連法改正案の今国会提出を予定するなど、関連資格は今後も増える予定です。社内の育成プランにこれら資格の取得を導入したり、情報セキュリティセミナーに社員を積極的に参加させたり、企業にはセキュリティ人材の育成に取り組むことが求められます。

・情報セキュリティ専門部署の重要性
情報セキュリティ対策では、緊急に対応すべき事案があれば業務の都合などに左右されず、社内に警鐘を鳴らして対策に踏み切ることが求められます。「業務が煩雑になる」「ビジネスの障害になる」などの社内の声から対策が後手に回るようでは安全を確保できません。そのためにも、セキュリティ部門の部署や担当者には、独立性とある一定の権限をもたせることが必要でしょう。

●情報セキュリティマネジメントの実施サイクル

企業・組織における情報セキュリティの確保に、組織的に取り組むことを情報セキュリティマネジメントと呼びます。運用する人材を組織化したうえで、以下の手順でPDCAサイクルを回していきます。



情報セキュリティマネジメントの実施サイクル
(総務省「国民のための情報セキュリティサイト」組織幹部のための情報セキュリティ対策より。※2)


PDCAの内容
(総務省「国民のための情報セキュリティサイト」組織幹部のための情報セキュリティ対策より。※2)

情報セキュリティ対策は守りの活動であるため、そこへの意識を社内に目に見える形で共有させ、対策を講じることは容易ではないでしょう。いかに社内に意義を伝え、その意識を徹底させていくか。担当者にはその適切な仕組みづくりからの役割が期待されています。そのうえで情報セキュリティマネジメントの実施サイクルに則ってセキュリティ体制を構築し、社員が一丸となってセキュリティ規則を守り運用を徹底することが望まれます。

※2:総務省「国民のための情報セキュリティサイト」組織幹部のための情報セキュリティ対策 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/index.html

配信申込⁄停止

“旬”なテーマで人材活用やビジネスに関するお役立ち情報をお届けします。メールマガジンの定期配信をお申込みのお客様は左のボタンからお気軽にどうぞ。

このページのトップへ

どうする?どうなる!「ニッポンの人材」 一覧へ