IT技術の劇的な発達により、情報は瞬時に世界を巡るようになりました。企業を取り巻くリスクも様変わりし、情報リスクを野放しにしておくことは企業の存続に関わります。リスクに対応するため、私達は日本で初めて情報セキュリティマネジメントの国際標準規格であるBS7799を全社で取得しました。あらゆるリスクを想定したインフラ整備、管理策の実施、従業員教育をおこない、情報の保護に努めています。また、当社はデジタルコンテンツ制作企業として、また日本でも有数のマネジメントシステム取得企業として、お客様に対して各種脆弱への対策や情報セキュリティへの取り組みから運用まで様々な情報提供やアドバイスをさせていただいています。
今日、情報セキュリティへの取り組みは、「システムを設定して終わる」というほど簡単なものではなくなりました。社外からの不正な攻撃はもとより、従業員による内部漏えい、法律への対応など多種多様な側面から情報の保護をおこなわないと、思わぬリスクが放置されてしまいます。その為、当社はシステム担当者や法務担当、経営的な立場、など様々な面から情報セキュリティ対策をおこなうために、「情報セキュリティ委員会」を設置しています。情報セキュリティ委員会は、社内にあるすべての情報資産に対してリスクアセスメントを実施し、従業員の先頭にたって社内の情報セキュリティを推進しています。
当社では、社内ネットワークシステムに変更を加える場合、情報セキュリティ委員会やネットワーク担当者などが、変更することのリスクや運用上の問題などを話し合い、問題の解決やリスク低減などへ向けた活動を続けています。これは社内ネットワークシステムが業務に不可欠であると同時に、社外から社内への情報の出入り口になっているからです。社内ネットワークシステムを上手に使うことで業務効率を上げ、また適切に管理することで、リスクの低減も図れます。こういった活動により、情報セキュリティの3要素(機密性・完全性・可用性)を満たすことを目指しています。
当社では、不要になったPCを廃棄する際、環境保護への取り組みの一環として、法律で認可された業者に委託しリユースを行ってもらっています。処分業者の選定には、当社の基準に照らし合わせ、基準を満たした業者にお願いしています。また、業者にはデータの抹消証明書を提出してもらい、廃棄したPCからの情報の漏えいが発生しない仕組み作りをおこなっています。また紙媒体に関して、機密情報や個人情報などが含まれた情報については、シュレッダー処分の後、廃棄をおこなっています。
当社では、様々な不正アクセスに対応するため、物理的・論理的・人為的など、各側面から不正アクセスへの対策をおこなっています。
いくつか例を挙げると、当社の社内ネットワークは、目的に応じて明確化されたポリシーにしたがって、社内用・社外・共有部分のように完全に分離しています。各部分の間には、ファイアーウォールが設置され、適切なアクセス権限がないとアクセスできないようになっています。
他にも、社会的にウィルスメールなどが問題になっていますが、当社でも過去Nimdaの時など、社内でも約6割が感染などにより影響を受けました。その事故の影響から全社一丸でウィルス対策を推進しています。その結果、ここ数年では、社内でウィルスの感染の発生は一例もありません。また、最近では社内でウィルスが発見(感染前の状態)されることすらほとんどなくなり、担当者宛に届くアラートが故障したかと疑うほどでした。
情報セキュリティ対策には、終わりはありません。
例えば、インターネット技術は日進月歩で高度化されていきます。また、それに比例して、不正アクセスやウィルスの作成などの悪意ある活動も高度化しています。情報セキュリティには、「今年これだけの対策を実施したから、来年は対策をしなくて良い」という理論が通じないのです。また、企業は多様なリスクを抱えており、そのすべてのリスクに完璧に対応するには、膨大な時間と手間がかかってしまいます。
その為、当社ではリスクコントロールという概念を導入しています。リスクコントロールとは、様々な情報が持つ重要度や脅威、脆弱性などを数値化し、リスクを測定します。そうして数値化されたリスクに対して、脅威を取り除いたり、脆弱性への対応などを実施したりすることで、リスクそのものを低減させていくシステムです。すべてのリスクを「0」にすることは無理でも、リスクの高いものから優先的に対応していき、会社全体としてリスクが低減できれば、少しずつでも改善が進んでいきます。
今すぐには対応ができないものでも、来年にはもっとリスクが低減できるかも知れない。そんな期待を抱きつつ日々1歩ずつ情報セキュリティ対策をおこなっています。
