WEB VISION OKAYAMA

連載記事

[IT] 社内機密情報の漏えい対策

Q 社内の機密情報や個人情報の漏洩対策はどのようにおこなえば良いのでしょうか?やはり相当なコストが掛かるのでしょうか。

まずは情報資産の把握から

A 「社内にある情報資産をすべて守る」「リスクを完全に0(ゼロ)にする」この2点に主眼をおいて、情報漏洩対策をおこなうのであれば、相当のコスト負担を覚悟しなければなりません。例えば、業務用端末(パソコン、タブレット、複合機など)の操作やアクセスログ(記録)や、紙媒体(機密情報)管理、電子メールの送受信内容や履歴、業務に必要のない私物の持ち込み制限・チェック、監視カメラによる映像の記録等「システムや仕組み」の構築が必要になることと、それに携わる人、システムを導入した結果として残るログ(記録)を「不正が行われていないかチェックする」という業務が増えることになります。

 残念ながら「社内にあるすべて情報資産が漏洩するリスクを0にする」ことから対策を始めると、ハード・ソフトの費用はもちろん人件費の負担も莫大になることは想像に難くないところです。まず一番におこなうことは社内にある「情報資産」を把握することと、そして情報資産に対して適切なアクセス権を設定することになります。

 例えば、社内資料を紙媒体で保管しているキャビネットと電子データとして保管しているファイルサーバーでも基本的な考え方は同じです。顧客情報など重要なファイルは「鍵」が掛かるキャビネットに保管すると思います。ファイルサーバーも同様に重要なデータを入れているフォルダに対して、ID・PASSを掛けるなどの閲覧制限を設けることが大切です。ID・PASSという「鍵」を掛けることにより、その情報にアクセスする必要のない人が見られないようにします。もちろん「鍵」の情報は、キャビネットの鍵と同じで誰でも入手できる状態にしないように管理しましょう。パスワードを付箋などでディスプレイに貼りつけて運用されているケースを見かけることがありますが、本来必要のない人の目に触れることと、貼りつけているだけなので剥がれてしまったり、ちょっとした風で飛んでいってしまったり紛失の恐れがでてきます。少し古典的な手法にはなりますが管理情報(ID・PASS)は、紙に出力してファイリングし、鍵が掛かる引き出しに保管するのが管理上好ましいです。このように「社内の重要な情報資産」に対して、決められた人のみがアクセス(取り出す)ことができる環境を構築していきましょう。そのための前段階として、情報資産の把握をおこないます。守るべき情報がハッキリと決まれば次はいかに守るかを策定していきましょう。



エムアンドシーシステム㈱
ユースウェアグループ
佐々木宏幸 氏
倉敷市沖255-11
TEL.086-421-5378

本誌:2015年2.16号 29ページ

PAGETOP