情報漏洩対策ソフトをご検討のみなさまへ

10/11/11

「情報管理とセキュリティポリシー」(尖閣映像流出事件編1)

今、大きな問題となっている尖閣映像流出事件は、海上保安庁のネットワーク内(イントラネット)のコンピュータに保存された画像や映像が、全国各地の海上保安部から閲覧可能な状態だったと報道されています。捜査資料とする場合はデータをアクセス不可能なフォルダに移動するルールだったようですが、データを共有した時から情報を管理するべきで、情報管理の徹底指示が出てからでは遅かったのかもしれません。

◆情報管理の徹底とは

データを公開/共有するとき、秘匿性が高いのか低いのか、それに応じてどう対策するのか、はじめから決めて運用しておくことは大事です。でも秘匿性がわからないから情報(データ)すべてを秘匿する、などの運用は現実的ではありません。利用したい情報を利用できず、場所や時間を問わない情報共有のメリットを損なってしまうことになりますから。情報の種類によって秘匿すべきかどうかの判断が重要になるため、あらかじめセキュリティポリシーを策定しておくことが必要ですね。

◆情報の洗い出し

セキュリティポリシーを策定する準備として、自社の情報資産としてどんな情報が、どこに存在するのかを、洗い出してみることが先決です。漏洩リスクを改めて実感することもあったり、もっと有効に活用できる方法を見つけることもあるでしょう。現状を知り、自社なりのセキュリティポリシーを策定することで、情報資産をさらに効率的に利用したり、リスク管理の仕組みづくりへ活用できるのです。

◆セキュリティポリシーの策定ポイント

セキュリティポリシーは、情報の種類や場合分けして多様に作ってしまうと、管理者にも利用者にも負担となり結局運用できなかったという失敗事例をよく聞きます。漏洩することで会社に損害を与える秘匿情報を、秘匿割合によってレベル分けし、割合が高い情報については利用者を限定し、割合が低い情報は限定しないなど、シンプルなポリシーを策定することがポイントです。

◆負担にならず運用できるシステム作り

セキュリティポリシーを策定したら、それを>実現するシステム構築が重要です。
先に言った失敗事例にならないように、管理者には構築・設定が容易に行える機能があり、利用者には利用負担が少ないシステムであることが、成功するセキュリティ対策のポイントです。