本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
最初のテーマは、セキュリティ対策です。最近は、ITインフラへ不正に侵入され情報を漏洩するなどのセキュリティ事故が目立つようになりました。こうした事故が起こると、復旧や説明、補償などで多大な手間やコストを費やすこともさることながら、企業の信頼を失墜させることになりかねません。セキュリティ対策は、IT担当者が担う最重要業務の一つです。
まずポリシーを作る
セキュリティ対策を進めるうえで、最初に実行に移してほしいことが2つあります。セキュリティポリシーを作ることと、作成したセキュリティポリシーに沿って対策を実施する社内体制を築くことです。
ポリシーには、セキュリティに関する基本的な考え方や対応策などをまとめます。例えば「ウイルス対策ソフトを未導入のパソコンを、LANにつながないこと」「顧客情報は必ず、アクセス者を制限したパソコンだけで扱うこと」などです。
セキュリティポリシーの内容は、業種・業態によって違います。流出させてはいけないデータの種類や数、ITが関連する法規制の有無などは、業種・業態によって異なるためです。また書式も、シンプルな個条書きから文書になっているものまで、企業によってさまざまです。どう作成したらいいのかまったく見当がつかないという方は、セキュリティポリシーを作るためのひな形もありますので、それらを参考に自社の状況と照らし合わせて作成してみるのがよいでしょう。
セキュリティポリシーが完成したら、社長まで含めた形で社内合意を得ましょう。そこまで終えたら、次はセキュリティポリシーに沿って対策を実施する体制を考えます。「事故が起こってしまい、何らかの判断が必要とされている」というケースに備え、最低限役員クラスの人が1人、最高責任者として必要だと思います。贅沢を言えば、CSIRT(Computer Security Incident Response Teamの略。シーサートと読みます)のようなセキュリティに関する情報収集を行う社内専門組織を設置できれば理想的ですが、自社の守るべき情報資産や流出した際のリスク、企業規模との兼ね合いで検討してください。
企業にとって、セキュリティポリシーやセキュリティ対策を行う社内体制の整備は不可欠です。扱うデータの量に関係なく、個人情報や顧客情報など、流出事故が発生したときの影響が大きいと予想される情報を所有している企業はなおさらです。私が企業のIT担当者と話した感触だと、従業員数が200名より多い規模の企業は、ポリシーと体制の両方を持っていることが多いと思います。
次回は、セキュリティポリシーと社内体制ができた後に実践していただきたいことを説明します。
http://www.hitachi-systems.com/secure/index.html