表示調整
閉じる
挿絵表示切替ボタン
▼配色
▼行間
+ - リセット
▼文字サイズ
+ - リセット
▼メニューバー
×閉じる

ブックマークに追加しました

設定
0/400
設定を保存しました
エラーが発生しました
閉じる
※文字以内
ブックマークへ移動
閉じる
ブックマークを解除しました。

エラーが発生しました。

エラーの原因がわからない場合はヘルプセンターをご確認ください。

ブックマーク機能を使うにはログインしてください。
課長!情報セキュリティってなんですか?  作者: セキュリス
前へ目次 次へ
4/5

情報セキュリティ講座(2)

「そういえば、先程から情報セキュリティ、情報セキュリティっておっしゃってますけど、具体的に、何をすることなんですか?」

佐々木が講師役の原に、質問を投げかけてきた。

「そうだな。一応定義的には、”機密性、完全性、可用性を維持すること”って定義されてるんだけど、それを聞いてもわからんよな〜。」

「そうですね。”脅威”とか”脆弱性”みたいに、わかりそうでわからないです。」

「一回、”情報”セキュリティから離れて、普通のセキュリティについて考えてみるか。いわゆる警備会社とかの警備ってどんなことをしてるイメージを佐々木は持ってるか教えてもらっても良いか?」

「はい。ビルとかに不審な人や物がいないか見回ったり、不審な人がいたら捕まえたり、警備ってそんな感じイメージです。」

「そうだよな。それって、言い方を変えると、ビルとかの警備対象を、正規の利用者が普段通りに使えるようにしてることが警備であるっていう言い方も出来るよな?」

「”普段通り”。確かにそう捉えることも出来ますね。」

「”情報”セキュリティもだいたい同じことをするだけなんだ。

さっき言った、”機密性”は、権限ある利用者だけが情報資産を利用できること。

”完全性”は、情報資産が、勝手に破壊・改変されないこと。

そして、”可用性”は、情報資産を、利用者が利用出来ること。を指し示しているんだ。」


「、、、。つまり、情報セキュリティは”普段通り”を提供すること。で、その”普段通り”には、何個かの視点の種類が存在しているみたいな解釈で間違ってないですか?」

「うん。あってる。昨日保存したExcelファイルを社外の人が自由に見れてしまうのは”普段通り”ではないし、昨日保存したExcelファイルが今日になったら内容が勝手に変わっちゃってるのも”普段通り”でもないし、自分が作ったExcelファイルを自分が使えないような状態は”普段通り”ではない。だろ?」

「確かに。そんな事が起きたらパニックになりますね。」

「そう。パニックにもなるし、社内の機密情報が外部に漏れるのは大問題だろ? それで、その”普段通り”を守るための活動をしてるのが、我々情報システム課ってわけだ。」

「なるほど。普段通りを守るのが私達の仕事!なんか警察官みたいでかっこ良いですね。」


(そう。普段通りを守るだけで、直接売上に貢献しない情報セキュリティ活動はコストセンター扱いをされやすいが故に、1年以上増員要請の稟議が通らなかったのである。)


「さっき話した、情報セキュリティリスクの3つの要素の内、会社がコントロール出来る要素って何か覚えてるか?」

「えーと。確か、”情報資産”、”脆弱性”、”脅威”の3つでしたよね?、、、、、。情報資産は守るべき対象で、脆弱性が脅威が漬け込む隙間、脅威が社内外の悪者だったから、、、、。!。分かりました、脆弱性です!!」

「よく出来ました。それで、脆弱性にも種類があるのね。代表的なのは、会社にある機械類の欠陥とか、会社で使ってるソフトウェアの欠陥とか、人の操作ミスとかね。」

「その脆弱性を作らないために、社員への情報セキュリティ教育が行われている!ってさっき原さんが言ってました!」

「そう。でも、いくら社員に教育をしたところで、会社にある機械類の欠陥という脆弱性には対応できないんだ。」

「確かに、いつも使ってるパソコンに欠陥がある!とは考えませんよね。」

「そーなんだよな。だから、機械類の欠陥などの機械類の脆弱性には、情報システム課が直接対応を行っているんだ。」

「機械類の脆弱性の対応って具体的には何をしてるんですか?」

「社内にある情報機器の”リストアップ”とか、リストアップした機器の脆弱性情報の”収集”とか、収集した情報への”対応”を行うとか、だいたいそんな感じ。」

「なんか、めんどくさそうですね。」

「んー。めんどくさいと言われればそうなんだけど、うちの会社で使っている情報機器って大したものが無いから、定期的に脆弱性情報をまとめてるWebサイトとかで情報収集すればオッケーって感じなんよね。顧客情報を扱う情報機器とかは、完全に外部の業者さんに委託しちゃってるから、うちらの責任外だし。」

「え?そうしたら、情報システム課が管理してる情報機器って何があるんですか?」

「んー。サーバー類とパソコン、スマホは外部委託だし、管理しているのはせいぜいWi-Fi機器とUSBとかの記憶装置類、パソコンに追加で入れるアプリケーションの管理、社員の私物の情報機器くらいかな。」

「社員の私物の情報機器も管理されているんですか?私何も申請とかしていないですけど、大丈夫なんですか?」

「大丈夫大丈夫。業務用のネットワークに繋ぐ私物の端末だけが管理対象だから。いわゆるBYODってやつなんだけど、そのへんの社内規則についても解説していこうか。」


ーーBYOD Bring Your Own Device 私物のスマホとかを業務用に使うこと。名前はかっこいいけど、体の良い経費削(殴



次回は問題会です。

評価をするにはログインしてください。
前へ目次 次へ
この作品をシェア
Twitter LINEで送る
ブックマークに追加
ブックマーク
ブックマーク機能を使うにはログインしてください。
― 新着の感想 ―
このエピソードに感想はまだ書かれていません。
感想一覧
作者マイページ
誤字報告 情報提供
+注意+

特に記載なき場合、掲載されている作品はすべてフィクションであり実在の人物・団体等とは一切関係ありません。
特に記載なき場合、掲載されている作品の著作権は作者にあります(一部作品除く)。
作者以外の方による作品の引用を超える無断転載は禁止しており、行った場合、著作権法の違反となります。

この作品はリンクフリーです。ご自由にリンク(紹介)してください。
この作品はスマートフォン対応です。スマートフォンかパソコンかを自動で判別し、適切なページを表示します。

↑ページトップへ