« 2010年1月23日 | トップページ | 2010年2月7日 »

2010年1月30日

2010.01.30

中小企業のセキュリティマネジメント

今週、中小企業向けのセキュリティ対策について、少し、お話をした。
インターネットの拡大とそれに伴うビジネスの拡大は、光の部分とともに、影の部分も大きくしている。
顧客情報の持ち出しによる業績の悪化、大量のアクセスのためにWebサイトが開店休業状態のまま、サイトを改竄され社会責任を問われたなど。
2009年の脅威では、
■10 大脅威 ますます進む『見えない化』
第1 位 DNSキャッシュポイズニングの脅威
第2 位 ウェブサイトを狙った攻撃の広まり
第3 位 巧妙化する標的型攻撃
第4 位 検知されにくいボット、潜在化するコンピュータウイルス
第5 位 恒常化する情報漏えい
第6 位 脆弱な無線LAN暗号方式における脅威
第7 位 高まる「誘導型」攻撃の脅威
第8 位 減らないスパムメール
第9 位 組み込み製品の脆弱性の増加
第10 位 ユーザIDとパスワードの使いまわしによる危険性
1位のDNSに関しては、初めての登場であるが、相手先が適当に変えられるなどの悪用が進めば、Web世界の信頼性が大きく揺らぐことのもなる。
しかし、全体の件数面で、冷静に見ると、約8割弱が人的要素である。
メール、Webサイト関連での情報リークは2割程度。
今回のセミナーのポイントは、セキュリティマネジメントへの取り組み強化、それは、システム的に強化することも重要であるが、人の意識改革と組織としてのルール化にある。
そのポイントは3つの見える化にあると考えられる。
■資産の見える化
  情報資産管理台帳の作成
■脅威の見える化
  最新情報の入手
■管理の見える化

例えば、以下のような現状に対して、各企業は如何に対処しているのであろうか?
□現状の情報資産管理(紙)
• 紙の書類はどう管理していますか?
• 文書管理規程はありますか?
• 文書管理手順はありますか?
• 分類と格付けはされていますか?
• 入手と利用については規定していますか?
• 保存や複製については規定していますか?
• 持ち出しについては規定していますか?
• 廃棄方法については規定していますか?
□現状での情報資産管理(電子データ)
• 電子データはどう管理していますか?
• 電子データの管理規程はありますか?
• 電子データの取扱手順はありますか?
• 分類と格付けはされていますか?
• 入手と利用については規定していますか?
• 保存や複製については規定していますか?
• 持ち出しについては規定していますか?
• 廃棄方法については規定していますか?
ISMS、プライバシーマークの認証は、企業としては、大事な要素ではあるが、日ごろの対応でも、キチンとルール化、行動化せねばならないことがあるはずである。

最近は、セキュリティ監査の会社も出てきており、企業規模に関係なくその必要性は求められている。
しかし、ここ数年のセキュリティ対策では、大企業と中小企業との格差は広がるばかりである。
まず、足元での基礎作りが重要な時期になっている。

« 2010年1月23日 | トップページ | 2010年2月7日 »

最近のトラックバック

2017年11月
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    
無料ブログはココログ