事例紹介

究極の情報セキュリティ:「使わない」のが最上か?

情報セキュリティって、大事ですか?

意外と知らない、情報セキュリティの定義

隠せば良いというものではない

昨今、新しく情報システムなりITなりを導入しようとすると、「セキュリティはどうなっている?」という呪文で、凍結されることあります。

まして「Excelを使って新しいシステム化に取り組みたい」などと提案しようものなら、「Excelでセキュリティが確保できるわけがない」と一蹴される展開が、目に浮かぶようです。

この場合、担当者ががんばって「ワクチンソフトを入れてます」とか「入退室にあたって記録を付けてます」といった全うな回答をしたところで、「それでもハッカーが進入しないという保証があるのか?」「外部に持ち出されたらどうする」といった問答を通じて、中断に追い込まれる話を目の当たりにしています。

この場合、暗黙の了解で、「情報セキュリティ=情報が外部に漏れないこと」の意味で使われているようですが、実際の定義は異なります。

 

ところで情報セキュリティとは?

情報セキュリティには、ちゃんとした定義があります。すなわち、

  • 可用性:必要な時、いつでも利用できること
  • 完全性:計算結果が正しいこと
  • 機密性:許可された人以外に公開されないこと

ということになります。

そもそも漏洩すると困る「情報」といっても人によって受け止め方も様々です。「社長の愛人」とか「営業部の裏金」などは隠したいのはわかりますが、公的な制度で守るべき対象ではないでしょう。

何でも隠せばよいというものでは無く、隠す必要があるものを確実に隠す、というのが機密性であり、前提としては機密度についての基準があって、ABCのランク分けをした上で、Aランクを重点的に守る、という「セキュリティポリシー」あっての話です。

つまり、メモ代わりに使っているようなファイルまでがんじがらめにして、可用性(使いたいときに利用できる)が犠牲になるケースをよく見かけますが、本末転倒もいいところです。

 

「正しい情報セキュリティ」の理論武装をしよう

「みんなが言ってる」は最大の敵

基本は、「何から何を守るか」

以前は情報セキュリティ絡みのセミナーに呼ばれることも多かったのですが、その際に質問が多かったのが「何をどうすればよいかわからない」でした。

これについては、「何から何を守るかを明確に、まずは守るべき対象を抽出する」ことでした。

守るべき対象とは、「無くなる/外部に流出する/結果が間違っている」と経済的な被害が重大な情報資産です。

ここでいう情報資産とは、データ・インフラ・ソフトウェア・ハードウェアと認識しておけばよいでしょう。

経済的被害は、「企業活動停滞により、期待していた売り上げが無くなる」「悪評により売り上げが低下する」「取引先から取引を打ち切られる」といった事象です。

こうした影響を受けない情報資産は、「守るべき対象」から外しても、影響はありません。

 

実は多くの人がよくわかっていない、情報セキュリティ

冒頭の問答のような例は、実は情報セキュリティが何で、どうすればよいか全くわかっていない体制によく起こります。

特に責任をとりたくない性質の組織なら、なおさらです。

こうした場合、感情的に言っているだけなので、理論的に理解を求めるしかありません。

例えば「Excelファイルに読み取りパスワードを設定すると、ツールを使ってもなかなか解読できない」「シートの非表示をとプロジェクト保護を組み合わせると、ツールでも解読できない」といったところから、少なくとも簡単に情報漏洩が起きないことを理解してもらってはどうでしょう?