セキュリティーポリシーの重要性

セキュリティ 倫理的セキュリティ
セキュリティ

メインフレーム環境でのセキュリティ対策は、守備範囲を限定することが可能したが、、情報技術の高度化・複雑化・大規模化により、状況はがらりと変わってしまいました。情報システムに対するビジネスの依存度が増加し、今や「情報資産への脅威」は「ビジネスヘの脅威」へと変化しています。

利便性とセキュリティ対策のバランス

ビジネスでは、安全対策を講じなければならない情報資産が膨大に存在します。また情報資産のどこから手をつければよいのか、優先順位を明確にしなければなりません。データベースによる情報資産の一括管理は、業務の効率(利便性)を著しく向上させましたが、情報漏洩によるリスクも拡大しています。

利便性とセキュリティ対策は、相反する関係にあることから、これらのバランスを取る必要があります。会社の情報資産を管理する上で最大のネックになるのが、情報資産が持つリスクに対する従業員の無知・無関心です。
無知・無関心は、内部不正の増大を招きます。従業員間の意思統一、教育・訓練プログラム、チェック体制の確立が必要です。情報資産に対する管理責任者も明確にしなければなりません。一般的な社内規定や規則(ガイドライン)だけでは、こういった環境変化には対処しきれないため、ルールに欠落が生じます。ルールの欠落を防ぐためには、包括的なセキュリティポリシーの採用が必要です。

ビジネス活動こおける判断・行動基準として

セキュリティポリシーは、日々のビジネス活動で重要な意味を持ちます。たとえば、万一、秘密情報が漏洩した場合、不正競争防止法という法律にょって保護を受けます。しかし、不正競争防止法は、どんなに技術上・営業上有用な情報であっても、客観的に秘密として「管理」されていなければ保護してもらえません。

このためには、セキュリティポリシーに秘密情報をどのように管理すべきかを言匿っておくことが大切です。このように法律の世界では、企業がその情報資産を「管理」していたか否かを問われる場面が多々あります。当然のことながら、大切なものとして管理していなければ、大切なものとして扱われません。

セキュリティポリシーは、あらゆる情報セキュリティ活動の中心となる「基盤」です。ビジネスの成功を目指す企業は、正しい方向性と管理を確立するためにセキュリティポリシーを備えなければなりません。企業がしっかりとしたセキュリティポリシーを持ち、それに基づいて従業員を管理することで、従業員がセキュリティの必要性について明確かつ具体的に「意識」できます。「セキュリティ意識」これが重要です。

従業員がセキュリティの必要性について意識できれば、業務を遂行する際の判断や行動において、セキュリティを考慮した的確な意思決定が行えます。逆に、セキュリティポリシーが明確にされていないと、その意思決定は場当たり的・対症療法的になり、一貫性を欠いたものになってしまいます。

セキュリティポリシーのポジティブな面

セキュリティポリシーは、オプション的な問題でも、ある時点で完結してしまう一時的なプロジェクトでもありません。経理やマーケテイングと同様に、組織として継続して行う日々進化する活動のひとつです。当然、企業はそのための予算とスタッフ・組織部署を割り当てる必要があります。

しかしセキュリティへの投資の考え方は、「利益にはならないけど、トラブルが起きると困るから… 」という視点で考えるため、残念ながら日本におけるセキュリティポリシーの立案状況は芳しくありません。この視点は間違いで、プラス面があることを認識すべきです。「あそこの情報セキュリティはとび抜けて優れているから」というように、優れたセキュリティを持つことで、取引先の信頼が向上し、企業の競争力も向上することを忘れてはなりません。

EDI接続とセキュリティポリシー

EC(電子商取引)やEDI(電子データ交換)が急速に拡大し、これに関連した新しい脅威が出現しています。ECやEDIのような外部とのネットワーク接続には、お互いのセキュリティレベルの合致が絶対に必要です。そのための指標になるのが、セキュリティポリシーです。

「御社とは、今後EDIを利用した取引に変更したい。こんなにすばらしいセキュリティポリシーをお持ちなら安心です」、将来、トップ同士の会談で、こんな会話がされるかもしれません。セキュリティポリシーに限らず、このようなセキュリティへの投資(プライバシーマークの取得なども)のポジティブな側面に焦点をあて、セキュリティに関連して何が実現できるのかまで視野を広げることが必要です。
視野を広げることで、いろいろな可能性が見えてきます。マネジメント層への説得も容易になるでしょう。セキュリティによって新しいことが可能になること、セキュリティは業務をスピードダウンさせるものではないということを十分に認識すべきです。

コメント