開発部だより 第79回
1月29日、内閣官房長官から本年度より毎年、2月1日〜28日を
「情報セキュリティ月間」
と定めるとの発表がありました。
(参考)内閣官房情報セキュリティセンター(NISC)のサイト
http://www.nisc.go.jp/
これを機会に今月は身の回りの「情報セキュリティ」の再確認を行いたいと思います。
「情報セキュリティ」というのは、
情報の
機密性 (Confidentiality)
完全性 (Integrity)
可用性 (Availability)
の維持.とISO/IEC 27002によって定義されています。
これらの維持のためにはどんな対策をすべきでしょうか。
内閣官房情報セキュリティセンターからは、最低限行うべき項目として「情報セキュリティ対策3か条」
1. ウイルス対策
2. ソフトウェアのアップデート
3. パスワードの管理
が挙げられています。
http://www.nisc.go.jp/ism/pdf/3kajo.pdf
このPDFの中で、それだけでは全てのトラブルは防げるものではない、とも明言されています。
特に企業・学校・官公庁などの組織内ではこれらだけでは不十分であると容易に推測できます。
社員の情報漏えい防止の意識向上などを図る必要もあるでしょう。
SATTでは各個人が「情報セキュリティ」に気を配るよう、社員の考案した共通標語などを用いて意識を高める努力を行っております。
また、2008年6月にプライバシーマークを取得、もちろん現在も更新・継続中であります。継続の規定としてSATT従業員は年一回以上の研修を受けており、「個人情報の保護」という点の実施は厳粛に行われています。
また、SATT開発部では情報セキュリティのeラーニングコンテンツの制作に携わる機会も多くあり、その内容の中で情報の紛失、漏えい、改ざん等の被害の大きさは、知らなかったでは済まされない、非常に大きなもの(経済的損失・信頼の失墜 等)であると、制作作業の中でも強く認識されます。
さて、「情報セキュリティ」の定義の一つ目、情報の機密性のためにセキュリティ強度を高めることは大切です。しかし、ただそれだけを求めることでは、「情報セキュリティ」の問題解決になるものではないのも現実です。
例えば、パスワードを覚えきれないほどに長くすることは現実的でしょうか?(例えばフレーズが最大128文字の環境で最大文字数で利用)
私たちIT関連業務やPCを日常的に利用する業務の従事者は、セキュリティ強度と業務効率のトレードオフをも常に考慮に入れなければなりません。
また、業務の中で「情報セキュリティ」に関する適切な判断が問われることも多く、そのためにはセキュリティに関する情報には関心を持ち続けている必要があると感じます。
以上の点を踏まえると、いくら強固なセキュリティ環境の下にあってもやはり油断は禁物。
情報があふれ、さまざまな脅威にさらされている現代社会では公私共に常に「情報セキュリティ」には配慮をする必要があります。
内閣官房情報セキュリティセンターのページには「開発・運用管理者向けサイト集」情報がまとまっています。
IT関連の企業の方はこの機会に職種の専門性に合わせたリンク先に目を通されると大変役立つかと思います。
http://www.nisc.go.jp/websites/kaihatsu.html
一般のユーザー向けのリンク集はこちらです。
http://www.nisc.go.jp/websites/ippan.html
