近年のIT化の浸透や情報漏洩等の事件の増大に比例して、セキュリティツールも発達してきました。ちなみに、2003年から2005年にかけて、これらセキュリティツールやソフトの売上は倍増しているといわれています。今回は、IT化に伴い強化していかなければならないITセキュリティ投資におけるポイントをご紹介します。
IT化が複雑になればなるほどそのセキュリティ等も複雑になり、システム部等の専門的な部をお持ちの企業は別として、経営者一般においては判りづらいこと甚だしい限りです。その「判らなさ」のおかげで、ついつい過剰な投資をしてしまったり、導入されても業務実態に合わず使用されなかったりしてはいないでしょうか?
さて、できるだけそのようなことなくツールやソフト等を確実に、そして必要最低限の投資で導入したいものです。
そのための3つのポイントをご提示します。
1. |
リスク分析を行うこと
自社がお持ちの情報資産に対し、重み付けを行い、その発生の可能性や発生した際の影響を予測することです。ISMS(情報セキュリティマネジメントシステム)等の手法を参考にしてもよいですが、要は、お金をかけてまで保護すべき情報かを見極める必要があるということです。至極あたり前ですが、意外に各企業におじゃましてみるとできていない企業が多いといえます。 |
2. |
業務フローを書いて比較してみること
業務を行う現場サイドからは、作業方法が変わったりするだけで苦情がきたりという部分はありますが、それとは別として、導入前後の業務フローを書いてみることをお薦めします。「従来の業務もOJTなのでそのような業務フローはない。」とおっしゃる企業には尚更お薦めします。意外に業務フローを見直し、業務の定式化とポイントでの管理をキチンと行うことで、ツール導入までは必要ないという結果になることも多いといえます。自社業務実態をしっかり把握することがセキュリティの一歩と考えて下さい。 |
3. |
要件を明確にして相見積をとること
リスク分析により、何を守る必要があるのかという要件を明確にして、どのような状況においてそれらリスクにさらされる可能性があり、そのリスクにどのような形で対処するのかを明確にして仕様を限定して見積をとることです。無論、それ以外に業者から提出されるリスク対策として重要度の高いものがあったら、他の業者へ同条件で見積をさせるなど、要件を明確にすることが重要です。 |
しかし、どのようにセキュリティ対策を行っても、実際使用する側が、指定した方法以外で使用したり、面倒で使用しなかったりということがあれば、何にもなりません。本当は、このような人的側面とのバランスが最も重要な要素だという認識をして頂き、適正なセキュリティ対策を進めて下さい。
OBCが提供しているプライバシーマーク取得コンサルティングサービスには、ITセキュリティ投資におけるコンサルティングも含んでおります。
なお、プライバシーマーク取得におけるコンサルティングサービスは終了させて頂いております。ご了承ください。
|