前回のコラムでは、大企業や行政機関が作成する過剰な情報セキュリティポリシーが現場を混乱させるという課題について考察しました。
大企業や行政機関においては、過去の事例を基にリスクを回避するための範囲広いポリシーが作られがちです。しかしこれは、新たな脅威への対応が後手に回る要因にもなりかねません。
身の上に合った「情報セキュリティポリシー」の重要性
大企業と比較して人員や予算が制約される中小企業では、同様のレベルでの実施が難しいのが実情です。しかし、親会社からの指示で対応を保たざる場合、表面上はなんとかして「やっている感」を出すことが重要です。ただし、事実上は、抜け穴を作るのではなく、抑えるべきポイントを明確にし、メリハリをつけることが大切です。
情報セキュリティにおけるリスクの分類
情報セキュリティの脅威は大きく分けて以下の3種類が考えられます。
- 外部からの攻撃(メールなど)
- 社内から外部に探りに行く障害
- 内部からの情報流出
外部からの攻撃
情報セキュリティでも最も難しい分野です。全裸にするのは現実的に不可能です。最新情報へのアップデートを続けることが重要ですが、予算が限られる中小企業では重大な課題です。
社内から外部に探りに行く障害
疑わしいメールのURLクリックなどが例ですが、何かしらのアクション時に起こるため、教育を通じて気付きを促すことが有効です。
内部からの情報流出
意図的な場合は「事件」として取り扱い、厳武化が必要です。成りすましの場合はウイルス流出の可能性が高く、検知機能に始終始点を妹ざるしかありません。
最小限に抑えつつも必要な対策を
リスクを過大に採り上げたポリシーを一度作成してしまうと、のちの緩和が困難です。身の上に合った情報セキュリティポリシーを考える上では、この最小限を見極めることが重要です。
「まちの総務」として、中小企業の立場に絜いた情報セキュリティポリシーの制御を次回も提案していきたいと思います。