————————————————————
■□■ 平林良人の『つなげるツボ』Vol.272 ■□■
*** 内部診断と内部監査16 ***
————————————————————
新型コロナウイルスはいったんコントロールされたかに見え
ましたが、また感染が広がり出しました。3月からのコロナ
禍の経緯をみますとコロナが終息するには相当後ろの世界に
なりそうです。もしかするとインフルエンザと同様に生涯
付き合っていかなければならないウイルスかもしれません。
引き続き組織の内部診断についてお話しします。
■□■ 支援分野-情報セキュリティ ■□■
組織には3つのプロセス分野、すなわち、(1)経営(マネジメント)
分野、(2)主要(プロフィットセンター)分野、(3)支援(サポート)
分野のプロセスがあります。
前回まで(2)主要(プロフィットセンター)分野の内部診断に
ついてお話ししてきましたが、今回から(3)に入りたいと思い
ます。
支援(サポート)分野のプロセスとは、主要分野と経営分野の
仕事を文字通り支援する仕事のことを意味します。最初の診断
対象プロセスとして情報セキュリティプロセスを取り上げます。
情報セキュリティのプロセスは大変多岐に渡ります。
■□■ システムの脆弱性(ぜいじゃくせい)■□■
情報セキュリティを語るにはシステムの脆弱性(ぜいじゃくせい)
を知らなければなりません。システムを構成するOS(Operating
System)やソフトウェアには開発者が人智を尽くしてもプログ
ラムの不具合や設計上のミスに基づく欠陥が必ずどこかにあり
ます。
この欠陥のことを「システムの脆弱性」と言います。 脆弱性は、
セキュリティホールとも呼ばれ脆弱性が残された状態でコン
ピュータを利用していると、不正アクセスに晒されたり、ウイ
ルス(悪事を働くソフトウェア)に忍び込まれたりする危険性
があります。逆に言えば、ハッカー(PC内を覗く人、という
意味)は、 システムやソフトウェアの脆弱な部分をついて不正な
アクセスをして、ウイルスをまき散らします。
脆弱性が発見されると、多くの場合、ソフトウェアを開発した
メーカーが更新プログラムをユーザに提供し対策とします。
しかし、セキュリティホールは完全に対策を施すことが困難で
あり、次々と新たな脆弱性がハッカーに発見されているのが
現状です。
■□■ 情報セキュリティとは ■□■
情報セキュリティとは、たとえセキュリティホールがあっても
組織の情報資産を守ることを言います。
そのために、「機密性」、「完全性」、「可用性」を確立し、運用し、
維持することが必要です。
情報資産とは、組織が保有している顧客情報や販売情報など
の情報自体に加えて、それらを記載したファイルや電子メール
などのデータ、データが保存されているパソコンやサーバなど
のコンピュータ、CD-ROMやUSBなどの記録媒体、そして紙
の資料も含めた情報に関与する資源を言います。
機密性(Confidentiality)とは、許可された者だけが情報にアク
セスできるようにすることです。許可されていない利用者は、
コンピュータやデータベースにアクセスすることができないよ
うにします。
完全性(Integrity)とは、保有情報が正確であり情報が不正に
改ざんされたり、破壊されたりしないことを指します。
可用性(Availability)とは、許可された者が必要なときにいつ
でも情報にアクセスできるようにすることです。
■□■ 診断のポイント ■□■
情報セキュリティプロセスの診断の第一視点は、情報資産を
脅かす機密情報の漏洩(ろうえい)、不正アクセス、データ
の改ざんに対して、具体的対策を取っているかどうかにあり
ます。
組織においては、たった一人の不注意が、ウイルスへの感染や
情報漏洩(ろうえい)といった脅威につながります。社員一人
一人が、情報セキュリティ対策の必要性を理解し、自覚を
もって取り組むことが必要です。
組織によって、策定されている情報セキュリティ対策は異な
りますが、内部診断においては以下のことをチェック項目と
して診断することをお奨めします。
パスワード管理
ウイルス対策
電子メールの誤送信対策
標的型攻撃への対策
偽ホームページ対策
サーバのバックアップ
安全な無線LANの利用
廃棄するパソコンやメディアからの情報漏洩
外出先で業務用端末を利用する場合の対策
持ち運び可能なメディアや機器を利用する上での
危険性と対策、など