BIPROGY Foresight in sight BIPROGY Foresight in sight

情報セキュリティ

技報サイト内検索

情報セキュリティ

情報セキュリティへの取り組みと企業の社会的責任

多田 哲

情報セキュリティをめぐる事件・事故が後を絶たない.2年前にはウイルス被害による企業システムのダウンが頻発,企業では対策に追われた.今でも,PCやインターネットに対する知識不足や認識不足,はたまた,情報の持ち出しやPC盗難などによる情報漏洩事件が頻発している.情報セキュリティに関連するこのような事件(犯人あり)・事故(過失)を防ぐためには,企業における内部統制やコンプライアンス,業務プロセス管理などを行う企業統治と同時に,情報システムサイドとしてもIT戦略策定から設計,開発,テスト,運用のシステムライフサイクルを通した管理統制を行う「ITガバナンス」が必要となる.情報セキュリティ事件や事故は,サーバ停止や企業イメージダウンにとどまらず,事業の一時停止による損失や株価低下による時価総額の縮減など,企業経営に対して非常に大きな影響を及ぼす.事件・事故がおこった後のリスク管理体制だけでなく,多くの企業においてはその予防が重要であり,ITなしには成り立たないと言われる今日の企業経営において,事件・事故の有効な予防策として,企業の内部統制の仕組みと,それを支える情報セキュリティガバナンスを確立することが重要な経営課題であると言っても過言ではない.本稿では,多くの企業においてなぜ情報セキュリティ対策が重要になってきたか,という視点から説き起こし,情報セキュリティを企業の社会的責任(CSR : Corporate Social Responsibility)という視点からとらえたときに重要になってくる事業継続を担保するための計画策定(BCP :Business Continuity Plan)の必要性と策定ポイントについても言及する.

ダウンロード【PDF】(1.1 MB)別ウィンドウで開く

日本ユニシスグループにおける情報セキュリティ総合戦略

三口充高,大橋幸江

2000年以降のネットワークの発達に伴い,ITが社会経済へ急激に浸透したことにより,多くの企業においてIT戦略と経営戦略が同期化した情報経済化が進行している.この情報経済化により,セキュリティ管理対象は従来の書類等の物理的な対象物のみならず,ネットワークを介した情報資産全てへと変化してきている. 近年,企業が引起した情報セキュリティ事故は,場合によっては企業存続が危ぶまれるまでの事態となって来ている.このような背景から,経済産業省では世界最高水準の「高信頼性社会実現による経済・文化国家日本の競争力強化と総合的な安全保障向上」を目指し,「情報セキュリティ総合戦略」を2003年10月に公表した. この経済産業省の戦略を受け,日本ユニシスグループでは2004年2月「日本ユニシスグループ情報セキュリテイ総合戦略」を策定した.本稿では,企業における情報セキュリティへの取り組みが急務になった背景を考察するとともに,日本ユニシスグループにおける「情報セキュリテイ総合戦略」の目的と狙いと効果,三つの戦略,推進体制の紹介を行なうとともに戦略を発表してからの1年間を振り返り,今後の主な推進上の課題と対策をまとめた.

ダウンロード【PDF】(1.3 MB)別ウィンドウで開く

経営戦略としての事業継続マネジメントの必要

松尾由香里

事業を継続するためには,キャッシュフロー対策の重要性を認識しなければならない.事故及び自然災害が発生すると,まず復旧対策を実施することを考えるため,事前対策として復旧費用に偏って検討しがちであるが,過去の事例から,直接的な財産の損失額より,事業中断による売上の損失額やキャッシュフローの不足の方が遙かに大きいことは明らかである.しかし,日本の企業は事業継続マネジメントに関する考慮が不足しているため,企業全体のリスクマネジメントの観点から徹底して取り組んでいる企業はまだ少ないのが現状であろう.本稿では,現在の事業継続マネジメントに関する動向やマネジメントシステムの構築方法を紹介するとともに,経営戦略として取り組む必要性と有効性について述べる.

ダウンロード【PDF】(611.9 KB)別ウィンドウで開く

企業における個人情報保護対策の取り組み

寺田由美子

個人情報保護法が2005年4月に完全施行しているため,企業は既に個人情報保護の義務がある.本稿では,個人情報保護法策定までの背景と,企業の個人情報保護対策に必要な取り組みとして,個人情報保護に関するガイドライン情報及び当社が奨める企業の個人情報保護対策の進め方を記述する.また企業における個人情報保護対策を推進していく上での課題と解決策や,短期間に企業の個人情報保護対策状況を明確にして,不足している安全管理対策を指摘するという,当社が開発した個人情報保護対策ソリューションの概要を記述する.

ダウンロード【PDF】(2.7 MB)別ウィンドウで開く

システム監査経験に基づいた情報セキュリティ監査について

高橋良子,山田和憲,久米進也

個人情報の漏洩,不正アクセス,コンピュータウイルス等の脅威が社会的な問題として取り上げられている中,情報資産の保有者である企業では,情報セキュリティ対策が適切かどうかを第三者が評価する情報セキュリティ監査の必要性が高まっている.本稿では,経済産業省が制定した情報セキュリティ監査制度に則った監査基準と,システム監査実施で作成された標準を活かすことにより,効果的に実施できた情報セキュリティ監査について,事例を交えて紹介する.情報セキュリティ監査を実施する上で,今後の課題と認識したリスク評価および技術的検証の見解についても述べる.

ダウンロード【PDF】(1.8 MB)別ウィンドウで開く

情報セキュリティにおけるリスクの定量化手法

岡本卓馬

情報セキュリティ対策を考える上で,リスクマネジメントは不可欠である.これは,リスクアセスメント,リスク対応,リスク受容,リスクコミュニケーションを含む概念である. リスクマネジメントの結果を踏まえて具体的な対策を検討するが,現在のリスク評価の多くは,リスクの大きさを相対的な数値として算出するため,対策に要する費用の妥当性を判断するのは困難である. 対策に要する費用の投資対効果を計る上では,リスクが顕在化する確率やリスクが顕在化することで被ると予想される損失額を算出し,リスクを定量化することが有効である. 本稿では,リスクを定量的なデータとして算出するための方法例と,留意点について記述する.

ダウンロード【PDF】(56.6 KB)別ウィンドウで開く

情報セキュリティにおける教育の重要性と人材の育成

田中信也

近年では人,物,金,情報,に加えて「信用」が企業活動を支える五つ目の資産として注目を集めている.しかしながら,最近ではこの企業の「信用」を揺るがすような情報漏洩事件が相次いでおり,多くの企業が情報セキュリティ対策に取り組んでいる.情報セキュリティ事故は,原因の73%が人的要因と考えられる.従って,情報セキュリティ対策において情報セキュリティ教育は重要な要件といえる.本稿では,情報セキュリティ対策のPDCAサイクルのそれぞれのステップで求められる人材の育成と,その実現方法を紹介する.

ダウンロード【PDF】(451.2 KB)別ウィンドウで開く

被保険者証のICカード化実証実験におけるセキュリティ考察

高島巳佳

現代では,カードを利用した仕組みにより様々なサービスが実現されている.日常生活に定着したサービスは利用者も多いが,偽造カードによる被害の増加,個人情報保護意識の高まりから,カードのセキュリティ機能についても注目されるようになった.我々がカードを利用した仕組みをビジネスとして企画する場合,カード内の情報を保護するためのセキュリティ対策が必須となる.そして,適切な対策を実施するためには,ケースごとに情報の価値,運用負担などを考慮した総合的視点での検討が必要となる.本稿では,個人情報のカード化ビジネスにおけるセキュリティ対策の検討について,「健康保険証カード化実証実験」の事例紹介を通して述べる.

ダウンロード【PDF】(1.1 MB)別ウィンドウで開く