« 提案型システムコンサルタント養成講座 訂正事項(お詫び) | メイン | システムアナリスト試験の題意の読み取りについて »

2008年9月 6日

中小企業も容易に取り組める情報セキュリティ対策について

現実的な内部統制の強化について

 当社も情報セキュリティに関するコンサルティング依頼を受けることがあるのですけれど、 お客様の反応は「なぜ、そんなことをコストをかけてやるの?」ということもときどきあります。
 やはり、人間の本能として「セキュリティは形がみえないので想像がつきにくい」とか 「形の見えないものにコストはかけられない」といことでしょうか。

システム監査学会の提言
JSSAニュースを読んで
 専門監査人部会報告として次のような意見があがりました。
情報セキュリティの裾野の広がりと幅広い分野に対応するための現実的な施策が必要だからでしょう。 要旨を述べてゆきたいと思います。

  • 重要な情報資産は隔離スペースとするが、ガラス張りとする
  • 倫理意識の低い人は機密レベルの高い仕事につけない
  • パスワードは本人に覚えやすいものとする
  • 機密情報は窓のない部屋に隔離する
  • ICカードは、友連れ防止の考慮する
出所:JSSAニュース「情報セキュリティ監査に役立つ着眼点と監査ノウハウ」: (株)バルク、内藤裕之

考察

 現実的なセキュリティ提案は、資源の乏しい中小企業としては大歓迎であり、上記の提案について以下のように考えます。

  • 重要な情報資産の隔離は必須、ガラス張りとするのは管理のしやすさと、内部けん制効果を高めることでしょう
  • 倫理意識を高めることは5Sからはじめることが肝要だと思います
  • パスワードは本人に覚えやすいものとする理由はメモの禁止だと思います
  • 機密情報は窓のない部屋に隔離する<:これは結構、難しく、中小企業では執務室が1つのケースが多いです/li>
  • ICカードは、友連れ防止の考慮する:近年友連れ禁止のカードシステムがでていますね
 先日、大企業系の企業を訪問させていただきましたが、友連れ禁止のICカードシステムを体感しました。

まとめ

 機密レベルの意識向上も重要ですが、気楽に取り組める「面倒くさくない」セキュリティシステムは とても重要だと思います。当社もイントラネットシステムの導入により、ウィルス対策、外部攻撃対策が 自動化となり非常に管理時間が削減されており、有難いです。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年9月 6日 07:31