6月25日、東京・竹橋パレスサイドビルにて、毎日コミュニケーションズが主催する特別セミナー『ジャーナルITサミット』が開催された。「情報漏洩対策」をターゲットにした同セミナーには、中小企業の経営層や企業のIT部門担当者を中心に115名が参加。第一部の独立行政法人 情報処理推進機構(IPA)理事 仲田雄作氏の「中小企業の情報セキュリティ対策~これだけは対策しよう~」と題した基調講演のほか、サーバサイド、クライアントサイドにおけるセキュリティ製品を提供する主要ベンダーの有識者による技術的な解説が四部構成によって行われ、企業の事業継続性までも左右しかねない昨今の重要なトピックスということもあり、参加者は熱心に講演に対して耳を傾けていた。
中小企業最大の問題は"人"である
IPA仲田氏による基調講演は中小企業、とりわけ「セキュリティが重要なのはわかっているが、何をどうすればいいのかわからない」といった、ITに精通していない経営層に向けた講演内容となった。
仲田氏は、「情報セキュリティ対策は、現在のビジネス環境において絶対に必要なものになっている。新規取引先の開拓や既存取引の継続といった側面においても必須のはず」と前置きした上で、IT化は浸透しつつも情報セキュリティ対策がなかなか普及しない日本の中小企業の実態を説明し、「大企業と中小企業の間における"セキュリティ格差"が拡大傾向にあることを指摘。この問題に対するIPAの取り組みを解説した。
仲田氏は、「中小企業における(情報セキュリティ面での)最大の問題は"人"である」と説明。専任の担当者を雇う余力がないという事情もあり、「大前提となるセキュリティポリシーの策定もままならない」(仲田氏)と、中小企業での情報セキュリティ対策がなかなか進まない背景を説明した。
IPAではこのような実態を踏まえ、情報セキュリティ対策ベンチマークを公開している。これは、30分程度で自社のセキュリティレベルを他社との比較によって自己診断できるものだ。ただし、「実際には、このベンチマークの設問にすら答えられない企業が多い」(仲田氏)とのことで、その場合は中小企業の情報セキュリティ対策ガイドラインを利用してほしいとのことだ。
ここでは「5分でできる自社診断シート」と「中小企業における組織的な情報セキュリティ対策ガイドライン」の2種類のガイドラインが用意されており、まずは「5分でできる~」を試し、これがクリアできたら「中小企業における~」のプロセスに進むという流れで対策を講じてほしいという。これによって「何から始めればいいのかわからない」「何をどうすればいいのかわからない」といった中小企業の経営者の悩みを解決することができるという。これらの利用はもちろん無料だ。
「5分でできる自社診断シート」のポイント
今回のセミナーでは仲田氏から、上述の「5分でできる自社診断シート」について、以下のような要点解説が行われた。
保管について
電子媒体に限らず、紙文書を含めて、机上の書類の保管方法についてルール付けがなされているか
持ち出しについて
ひったくりなどによる盗難被害を含め、PCやUSBメモリを失った場合、「データを安易に読み込めないようにする仕組み(暗号化など)が施されているか」、データを持ち出す場合は「誰が何を誰の許可で持ち出せるようにするのか」といったルールが明確化されているか。「データはなくなるもの」という前提に立って運用されているか
廃棄について
「確実に消去する」といったことが徹底されているか。「ごみ箱」から消去したらおしまい……になっていないか。場合によっては大容量化したUSBメモリも、CDやHDDと同じく物理的に破壊する必要がある
パソコンについて
セキュリティパッチが常に適用されているか。これは「企業がPCを使う以上、必ず行わなければならない」という意識がエンドユーザーにも徹底されているか
パスワードについて
「紙にメモしない」「他人が想像しづらいものにする」「長いものにする」といった個人レベルの対策は当然ながら、組織として設定・管理の重要性を認識しているか
ウイルス対策
常に(可能であれば数時間おきといった短いサイクルで)定義ファイルのアップデートなどが行われているか
メールについて
宛先間違いによる誤送信や、BCCを使わない(知らない?)ことで不用意にメールアドレスを漏洩させてしまっていないか
仲田氏は「廃棄」に関する盲点として、PCやPC周辺機器のほかに複写機(デジタル複合機)の存在があることを指摘。「FAXやPDF配信機能などを持つデジタル複合機に搭載されたHDDに文書データが残ったまま、リプレースなどでデータが外部に持ち出されてしまうケースがあることを忘れてはならない」としている。また、「パソコンについて」の話の流れの中で、経産省が進める日本版クラウドサービスとも言えるJ-SaaSも紹介。「常に最新のセキュリティ対策が講じられたソフトをASPで使える」という点において、セキュリティ対策の観点での同サービスのメリットを強調した。
なお、IPAは5月に「情報セキュリティ白書 2009」を公開したが、仲田氏は情報セキュリティに関するインシデントとして最も多いものが情報漏洩であることを指摘しながら同白書の内容を紹介。「2008年の上半期における情報漏洩の原因の半分以上は人為的なミスによる『誤操作』だった」として、実際に発生した最近の情報漏洩事故を例にとりながら、あらためて情報セキュリティ対策を正しく運用管理を行うことの重要性を訴えた。