情報漏えい対策を通じて「守るべきもの」とは − @IT(情報元のブックマーク数)
東京で開催された@ITのセミナーのレポート。
2010年6月18日、東京・大手町にて@IT編集部主催のイベント「@IT 情報漏えい対策セミナー いま知っておきたい『可視化』志向のセキュリティ対策」が開催された。同イベントでは、セキュリティベンダによる自社製品・ソリューションの紹介セッションのほか、基調講演と特別講演が行われた。
情報漏えい対策を通じて「守るべきもの」とは − @IT
基調講演では、大手メーカー企業におけるセキュリティ対策への取り組みについて紹介が行われ、また特別講演ではクレジットカード業界における情報漏えい対策への取り組みについて、PCI DSSの最新動向なども含めて紹介された。本稿では、両講演の概要を以降でレポートする。
まず組織対策、人的対策、物理対策、技術対策の4本柱で考えて、そのうち、情報誌さんの管理活動を最優先でやったとのこと。
情報セキュリティ統括室の設立と同時に室長に着任した鈴木氏は、まず活動の指針となる「情報セキュリティ戦略」の策定に着手した。戦略で網羅するセキュリティ対策は、ISMSで挙げられている「組織的対策」「人的対策」「物理的対策」「技術的対策」の4つの分野を基本としつつも、同氏はそれに「情報資産管理」を加えることにこだわったという。
情報漏えい対策を通じて「守るべきもの」とは − @IT
「『情報の重要度の識別』『資産へのラベル貼付』『資産台帳の管理』『媒体の管理』といった情報資産管理の活動を、優先度を上げて行うべきだと考えた。ISMSで挙げられている4分野の対策にこれを加えた『4プラス1』で、総合的なセキュリティ対策を実現したいと考えた」(鈴木氏)
eラーニングは運営側は数値も分かり、都合の良い時間でやってもらえるけど、実際やってくれる人は少ないからな・・・
フォローってのが一番だいじかも・・・99.8%ってのはすごいな。
まず、同社が最も高い優先度で取り組んでいるのが、社員に対する情報セキュリティの教育・啓発活動である。具体的には、e-ラーニングを中心に定期的に教育を実施しているが、制度が形骸化しないよう、コンテンツの内容を逐次見直したり、実施頻度を年1回から2回に増やしているという。また、未受講者に対するフォローは徹底しているという。
情報漏えい対策を通じて「守るべきもの」とは − @IT
「フォローの結果、最終的には受講率を99.8%まで引き上げたが、大事なのは100%に到達させることではなく、社内に『受講しなくても問題ない』という風潮ができてしまうのを防ぐことだ」(鈴木氏)
