セキュリティポリシー策定講座(1)
会社のパソコンからインターネット接続が可能だろうか?
特集
特集
パソコンからインターネット接続が可能ということは、外部からウイルスや不正アクセスなどの脅威にさらされるということである。またインターネット接続されていなくても、社内の人間による情報漏えいリスクがある。こういった情報に対する脅威やリスクをどう考えていけばよいのだろうか。
●『情報』が会社の第四の資産に
NetSecurityの『改ざん情報』を見ると、毎日のように名前を聞いたことがないような中小企業のサイトが改ざんされている。またある会社では辞めた社員に顧客情報を持ち出され転職先で営業活動をかけられてしまった。結局、開拓した顧客を奪われてしまい不正競争防止法での争いに発展した。また何者かによって不正に持ち出された顧客情報が名簿販売業者へ流れる事件もあいかわらず続いている。背景には情報の持ち出しが容易になった点と持ち出した情報がお金になる点がある。
少し前まで紙の台帳で管理していた顧客情報は今ではパソコンやサーバでデータベース管理するのが当たり前となった。またメディアが大容量化、高機能化したことによりUSBメモリーにドラッグするだけで、何十万件もの顧客情報を瞬時にコピーできるようになっている。他社から持ち出された顧客情報を自社のパソコンに導入すればDM発送などのマーケティングにすぐ使えるため、年収や購買履歴など属性が豊富な個人情報ほど値段が高くなっている。
会社の資産といえば以前は『人、物、金』であったが、今や『情報』が第四の資産となっている。顧客情報だけでなく、社員の個人情報や商品ごとの仕切り値、製品を作る上での配合表、ノウハウなど、会社内には様々な情報が蓄積されている。これが守るべき『情報資産』である。
あるメーカーではノウハウを注ぎ込み協力会社と苦心して工程で使う工作機械を作りあげた。ところが協力会社が海外の同業者にほぼ同じ仕様で工作機械を売ってしまい、製品の品質面で差をつけられず価格競争に巻き込まれてしまった。それ以来、会社ではノウハウや情報を門外不出とし、工程で使う工作機械などは全て内製化するように見直した。
コカコーラが原液の調合比を秘伝としている話は有名だか、日本の大手電機メーカーの技術者を海外メーカーがヘッドハンティングするのも技術者が持つノウハウや情報に価値があるからである。
中には建設会社が役所へ入札価格をメール送信したが各社の名前と金額が入った一覧表を誤って添付してしまった。役所に談合がばれてしまい、名前の載っていた会社はすべて指名停止になるという笑い話のような情報漏えい事件もある。
会社のコアコンピータンスといえば今までは設備などの『物』であったが現在ではノウハウや情報の形として存在している場合が多い。会社の強みを維持するためにも情報管理を徹底していかなければならない。中小企業といえども情報資産を守るセキュリティ管理に無関心でいられない時代となった。
ただセキュリティは大切だと言いながら、ITベンダーのすすめで言われるままにファイアウォールを導入したり、ウイルス対策ソフトをいれたりと場当たり的な対応をしている会社がほとんどである。
では、会社としてどう対応すればよいのだろうか。その一つがセキュリティポリシーの作成である。
【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》