先日衆議院のサーバーに不正侵入されて情報が抜き取られていたと言うニュースが駆け巡りました。システム管理者の立場から考えると担当管理者の苦労が伝わります。おそらくセキュリティポリシーは立派な物が出来ていたと思いますが議員さんや関係者からのサービス(可用性、使いやすさなど)の要求があって厳格な制限が出来なかった結果だと思われます。
一般の中小企業ではそれに加えてセキュリティコストについても考慮しなくてはなりません。簡単に言えば安くて、使い勝手が良くて、軽快な仕組みが求められます。企業の経営者によっては身近にセキュリティ関連の被害があって初めて真剣に考える方もおられます。
セキュリティ対策を行うにあたって重要なことは「何を守るか」というです。またなぜそのデータを守らなければならないのかを明確にすることです。次にだれが管理責任を負っているのかを決めます。この部分を情報セキュリティポリシーと言って一番重要な部分です。簡単なようですがなかなか出来ていないのが実情です。
情報セキュリティポリシー作成時には相反する事が多く、どこまで許可するかなど立案するシステム管理者は難しい選択を迫られます。時にはサービスの停止なども考慮する必要があります。今回の衆議院の件はセキュリティ管理の出来ていないパソコンからアクセスできるようなサービスの許可が原因と思います。最近増えているiphoneやアンドロイド端末などシステム管理者のリスク管理業務は増える一方です。ノートパソコンなどはセキュリティのソフトやシステムが揃っているのでしっかり管理、運用することでリスクの減少は可能ですが、いまのところ携帯端末類はリスクの方が多いと思われます。
- 関連記事
-
