- 2006/07/24 掲載
【NETWORK Guide】情報セキュリティ基礎ガイド[第2回:脅威の多様化と適切な内部統制の必要性]
【セキュリティ】企業活動を正常に遂行するための
記事をお気に入りリストに登録することができます。
情報システムが企業活動の遂行に不可欠のものであることは論を待たないが、
セキュリティ上の問題が原因で、情報漏えいなどをはじめとしたリスク要因になる危険性もある。
とはいえ、適切なセキュリティ対策を講じるには、まず目的と手段について理解していることが必要だ。
そこで本稿では、本質的に何のためにセキュリティ対策を行うのかという目的と
具体的な対応策について確認したうえで、関連技術に関するさまざまな話題を取り上げてみたい。
 |
|||
|
|
||
|
Guide 2
|
>脅威の多様化と適切な内部統制の必要性 |
|
セキュリティ対策を立案・実行する際に重要なのは、「脅威の評価」と、それに対応する「守るべきものの明確化」だ。また、それぞれの組織が置かれている状況によって、重点を置くべき分野、あるいは講じるべきセキュリティ対策の度合いが異なってくるのはいうまでもない。 これまで、コンピュータやネットワークによって構成される情報システムの脅威として取り上げられることが多かったのは、個人的な関心事として不正侵入行為などを行う、いわゆる「クラッカー」だった。たしかにこうした種類の脅威は、現在でも存在している。 しかし、インターネット利用の拡大や、社会がコンピュータやネットワークに依存する比率が高まってきたことで、新しい種類の脅威が出現している点を見落とすことはできない。一例を挙げると、国際的な政治情勢が情報セキュリティのリスクにつながる可能性がある。日本と何らかの利害関係を持つ国や組織が、日本の政府関係機関、あるいは大企業などが運用するWebサイトや情報システムを標的にして、組織的にサイバー攻撃をかける事態、あるいは自国内のクラッカーを扇動してサイバー攻撃を仕掛けるような事態は、すでに現実のものとなっている。 また、フィッシングや架空請求のように金銭が関わる犯罪行為が増加しており、国際犯罪組織やテロ組織などが、資金集めの手段として利用する可能性もある。そのような組織犯罪行為では、個人が行うものとは違うレベルの巧妙さを持つ攻撃が仕掛けられる可能性を考慮しなければならない。 そのほか、2005年に施行された個人情報保護法、2006年5月から施行される新会社法、あるいは2008年の施行が予想されている日本版SOX法といった法律の規定により、企業が取り扱う個人情報の保護に加えて、適正な企業業務の遂行といった面から内部統制を行うことが求められている。情報分野のセキュリティ対策は、そうした内部統制の一環としてとらえる必要もある。 >>>Guide3、Guide4の公開は7月26日です。 |
井上孝司 Kouji Inoue |
あなたの投稿
PR
PR
PR
