道具としてのExcel活用

究極の情報セキュリティとは?・・・「使わない」のが最上か?

意外と知らない、情報セキュリティの定義

昨今、新しく情報システムなりITなりを導入しようとすると、「セキュリティはどうなっている?」という呪文で、凍結されることあります。
まして「Excelを使って新しいシステム化に取り組みたい」などと提案しようものなら、「Excelでセキュリティが確保できるわけがない」と一蹴される展開が、目に浮かぶようです。
この場合、担当者ががんばって「ワクチンソフトを入れてます」とか「入退室にあたって記録を付けてます」といった全うな回答をしたところで、「それでもハッカーが進入しないという保証があるのか?」「外部に持ち出されたらどうする」といった問答を通じて、中断に追い込まれる話を目の当たりにしています。
この場合、暗黙の了解で、「情報セキュリティ=情報が外部に漏れないこと」の意味で使われているようですが、実際の定義は異なります。

 

ところで情報セキュリティとは?

情報セキュリティには、ちゃんとした定義があります。

可用性 必要時に中断することなく、情報にアクセスできる状態を確保すること
完全性 情報が破壊、改ざん又は消去されていない状態を確保すること
機密性 ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保すること

ということになります。
参考:総務省 サイバーセキュリティって何?

 

そもそも漏洩すると困る「情報」といっても人によって受け止め方も様々です。「社長の愛人」とか「営業部の裏金」などは隠したいのはわかりますが、公的な制度で守るべき対象ではないでしょう。
何でも隠せばよいというものでは無く、隠す必要があるものを確実に隠すというのが機密性であり、前提としては機密度についての基準があって、ABCのランク分けをした上で、Aランクを重点的に守る、という「セキュリティポリシー」あっての話です。
メモ代わりに使っているようなファイルまでがんじがらめにして、可用性(使いたいときに利用できる)が犠牲になるケースをよく見かけますが、これでは本末転倒もいいところです。

 

「正しい情報セキュリティ」の理論武装をしよう

以前は情報セキュリティ絡みのセミナーに呼ばれることも多かったのですが、その際に質問が多かったのが「何をどうすればよいかわからない」でした。
これについては、「何から何を守るかを明確に、まずは守るべき対象を抽出する」ことでした。
守るべき対象とは、「無くなる/外部に流出する/結果が間違っている」と経済的な被害が重大な情報資産です。
ここでいう情報資産とは、データ・インフラ・ソフトウェア・ハードウェアと認識しておけばよいでしょう。
経済的被害は、「企業活動停滞により、期待していた売り上げが無くなる」「悪評により売り上げが低下する」「取引先から取引を打ち切られる」といった事象です。
こうした影響を受けない情報資産は、「守るべき対象」から外しても、影響はありません。

 

「みんなが言ってる」は最大の敵

冒頭の問答のような例は、実は情報セキュリティが何で、どうすればよいか全くわかっていない体制によく起こります。
特に責任をとりたくない性質の組織なら、なおさらです。
こうした場合、感情的に言っているだけなので、理論的に理解を求めるしかありません。
日本人にありがちな「みんなが言っているから」正しいこととされてしまうのです。
まずは、「Excelファイルに読み取りパスワードを設定すると、ツールを使ってもなかなか解読できない」「シートの非表示をとプロジェクト保護を組み合わせると、ツールでも解読できない」といったところから、少なくとも簡単に情報漏洩が起きないことを理解してもらってはどうでしょうか?