security

セキュリティ対策を見直してみませんか

「情報セキュリティ」や「システムの運用」は、どの様な規模の企業でも必要です。

• 「うちにはそんな大事な情報無いよ！」
• 「うちの仕事はパソコン使ってやる仕事じゃないからなぁ」 そういうお声も良くうかがいます。
  ですが、取引先との連絡が電子メールで行われたり、USBメモリで図面やデジカメ写真をやりとりする現在は、その情報を失った場合の損失や、漏洩し外部の者に利用されることなどを考えると、自分たちが想像している以上に、情報の価値は高い物となっています。
  情報セキュリティ対策やシステムの運用は不可欠なものとなってます。そしてセキュリティ対策と運用は関連づけて行うことが重要です。
  
  ですが、大企業と同じことを零細な企業で行うのはナンセンスですし、何のためのセキュリティ対策かわかりません。
  「セキュリティのためのセキュリティ」にならない様にするためにも、会社の規模や構成・業種などをふまえて対策を考える必要があります。
  
  よくうかがう話題として、「どのレベルまでやったら良いのか、分からない」という相談があります。
  おそらく相談された方は、対策を行う具体的な「何か」をイメージしてお話をされていらっしゃると思います。その対策をどれだけ厳重なものにしなければいけないか、ご自分での判断が難しい状況であると考えられます。
  世間一般との比較や常識的な判断で、特定の対策（例えば、マルウェア対策の導入や暗号化ツールの導入など）の実施やレベルを定めることは可能ですし、ある一定レベルの対策は必須です。
  しかし、対策を先に考えると「セキュリティのためのセキュリティ」になりがちです。
  
  以前、「ウィルス対策ソフトが入っているから安心」というような話を聞くことがありました。
  マルウェア（ウィルス）対策ソフトの導入は重要なセキュリティ対策の一つですが、導入することで全てのマルウェアからの被害を避けるということはできません。
  また、それだけで全ての情報を保護することが出来ないのは、いうまでもありません。
  
  時間と手間はかかりますが、まずは「うちの会社では、何が重要か、何を守らなければいけないか」という活動を先に行った方が、会社に適した対策をとりやすくなります。
  手順を追えば自然に「何を、どこまでやるか」というところが見えてきます。また、見えてくるように進めていきます。
  
  こういった手順を経た対策は自社にあわせやすい対策となります。
  自社にあわせやすいので、継続して行いやすい対策となります。
  
  この活動を「リスクアセスメント」と呼びます。
  リスクアセスメントは、分析そのものの活動を行っている間は対策が進まない事や、時間・手間がかかることから、省かれる傾向があります。
  しかし、その後の継続を考えると最終的なコストはリスク分析を行った方が下がると思われます。
  投資を行わないでも十分と評価できる対策もあります。
  
  今一度、社内の情報やシステム機器、セキュリティ対策など全体を改めて見直してみませんか。