IT技術の劇的な発達により、情報は瞬時に世界を巡るようになりました。企業を取り巻くリスクも様変わりし、情報リスクを野放しにしておくことは企業の存続に関わります。リスクに対応するため、私達は日本で初めて情報セキュリティマネジメントの国際標準規格であるBS7799 を全社で取得しました。あらゆるリスクを想定したインフラ整備、管理策の実施、従業員教育を行い、情報の保護に努めています。また、当社はデジタルコンテンツ製作企業として、また日本でも有数のマネジメントシステム取得企業として、お客様に対して各種脆弱への対策や情報セキュリティへの取り組み〜運用まで様々な情報提供やアドバイスをさせて頂いています。
今日、情報セキュリティへの取り組みは、「システムを設定して終わる」というほど簡単なものではなくなりました。社外からの不正な攻撃はもとより、従業員による内部漏洩、法律への対応など多種多様な側面から情報の保護を行わないと、思わぬリスクが放置されてしまいます。その為、当社はシステム担当者や法務担当、経営的な立場、など様々な面から情報セキュリティ対策を行うために、「情報セキュリティ委員会」を設置しています。情報セキュリティ委員会は、社内にある全ての情報資産に対してリスクアセスメントを実施し、従業員の先頭にたって社内の情報セキュリティを推進しています。
当社では、社内ネットワークシステムに変更を加える場合、情報セキュリティ委員会やネットワーク担当者などが、変更することのリスクや運用上の問題などを話し合い、問題の解決やリスク低減などへ向けた活動を続けています。これは社内ネットワークシステムが業務に不可欠であると同時に、社外から社内への情報の出入り口になっているからです。社内ネットワークシステムを上手に使うことで業務効率を上げ、また適切に管理することで、リスクの低減も図れます。こういった活動により、情報セキュリティの3要素(機密性・完全性・可用性)を満たすことを目指しています。
当社では、不要になったPCを廃棄する際、環境保護への取り組みの一環として、法律で認可された業者に委託し廃棄を行ってもらっています。処分業者にPCを引き渡す前に、PCPCから情報が格納されているハードディスクを抜き取り、データの再利用がされないように破砕処理をしています。
また紙媒体に関して、機密情報や個人情報などが含まれた情報については、シュレッダー処分の後、廃棄をおこなっています。
当社では、様々な不正アクセスに対応するため、物理的・論理的・人為的など、各側面から不正アクセスへの対策をおこなっています。
一例を挙げると、当社の社内ネットワークは、目的に応じて明確化されたポリシーにしたがって、社内用・社外・共有部分のように完全に分離しています。各部分の間には、ファイアーウォールが設置され、適切なアクセス権限がないとアクセスできないようになっています。また、当社は全部で5拠点に分かれていますが、それぞれの拠点同士の流れるデータは暗号化されており、情報漏洩対策が施されています。
情報セキュリティ対策には、終わりはありません。
例えば、インターネット技術は日進月歩で高度化されていきます。また、それに比例して、不正アクセスやウィルスの作成などの悪意ある活動も高度化しています。情報セキュリティには、「今年これだけの対策を実施したから、来年は対策をしなくて良い」という理論が通じないのです。また、企業は多様なリスクを抱えており、その全てのリスクに完璧に対応するには、膨大な時間と手間がかかってしまいます。
その為、当社ではリスクコントロールという概念を導入しています。リスクコントロールとは、様々な情報が持つ重要度や脅威、脆弱性などを数値化し、リスクを測定します。そうして数値化されたリスクに対して、脅威を取り除いたり、脆弱性への対応などを実施したりすることで、リスクそのものを低減させていくシステムです。全てのリスクを「0」にすることは無理でも、リスクの高いものから優先的に対応していき、会社全体としてリスクが低減できれば、少しずつでも改善が進んでいきます。
今すぐには対応が出来ないものでも、来年にはもっとリスクが低減できるかも知れない。そんな期待を抱きつつ日々1歩ずつ情報セキュリティ対策をおこなっています。
