企業におけるサイバーセキュリティ対策の考え方

前項では「情報セキュリティ」と「サイバーセキュリティ」の違いを説明しました。それを正しく把握すれば、サイバーセキュリティ対策とは、外部からの悪意のある攻撃への備えだけではないということがご理解いただけるかと思います。

まずは、「情報」を保全するための情報セキュリティマネジメント体制を意識して整備していくことが必要になりますが、そもそも保護対象である「情報」とは何なのか?という点をよく理解しておく必要があります。

広義で言うのであれば、「情報」というものに特定の形はありません。何らかの形式で保存されたデータや、誰かの発言やメモ書き、記憶の中にあるものなども「情報」として捉えることができます。

しかしながら、サイバーセキュリティ基本法において保護対象としている「情報」は、「電磁的方式によりやり取りされるもの」と定義されていますので、PC端末やサーバー、何らかの記録装置等の記録媒体に保存されたデータに限定されることになります。

本連載では、「電磁的方式によりやり取りされる情報」を守るための体制や管理ルールの策定について展開していきます。

外部からのサイバー攻撃への対策はもちろんですが、企業の従業員による情報の不正利用や持ち出しなどの内部不正、不正送金等への対策、さらには、情報システムの安全性、および信頼性の確保も該当します。

USBメモリなどの記憶媒体の持ち込みや、フロア入退出による施錠管理などの物理的なセキュリティ対策も考慮しなければいけません。

自然災害などによる大規模停電や情報損壊、人為ミスなどによって引き起こされる情報システムの障害、それらを迅速に復旧するための措置に関しても、サイバーセキュリティ対策に含まれます。

また、外部のクラウドサービスの利用や、外部ベンダー等の第三者への業務委託などがある場合には、サービス提供事業者や委託先による事故等に関しても、管理責任は委託元である自組織となるものもありますので注意が必要です。

このように、サイバーセキュリティ対策の範囲はかなり広く捉える必要があります。まず、現状を正確に把握することが必要です。そしてその評価結果に基づいた強化対策を実施して、理想とする姿に近づけていきます。

その際、「評価」と「強化」を別の工程として分けて考え、一連のプロセスを継続的に実施することが非常に重要なポイントになります。

画像を拡大

今回はサイバーセキュリティ対策を進めていく上での基本的な考え方を整理させていただきました。

次回以降は、これら一連のプロセスを継続的に実施していくための進め方や、具体的な安全管理措置の策定についてご説明していきたいと思います。

 

執筆者

西村 健太郎

株式会社AnswerCrewLaboratory代表。通信キャリア、商社系IT企業にてデータセンター事業、クラウドサービス事業の立ち上げに従事し、企画・マーケティング・営業・事業推進などさまざまな業務を経験。現在は独立コンサルタントとして活動し、株式会社M&Kのプロジェクトに参画。企業のサイバーセキュリティ対策に関するコンサルティング業務やサービス導入支援、講演活動などを展開。