2010年2月3日水曜日

550:情報入手の重要性

前号では優秀な人材が流出してしまう事例をちょっと述べたが、中でも幹部連がビックリ仰天したのがK君である。

外交官の子供として育ったので英語とスペイン語が堪能、しかも東大および大学院卒の土木専攻であった。人格者でもあり赤門出身の幹部からは絶大な信頼を得ていた。しかし、入社7年だったかなADBに移籍した。とは言え、ジュニアだからまだ見習いである。あれから3,4年経って最近の彼の活動を見てみた。おや、水資源からエネルギーへ転身した。まあ水と電力はお仲間だから無関係ではないがエネルギーとなるとちょっと差異がある。水力ならいいがエネルギー政策全体は水資源とは全く専門が違うからだ。僕の想像では、水資源はオランダ人とかゴロツキが牛耳っているいるので、エネルギーへと避けたのだろうか。まあ彼も優秀だから何とかやっているのだろう。しかし、就職探し用のサイトにも登録しているのでADBからどっかに行きたいと望んでいるかもしれない。コンサルの経験が7年じゃまだ子供だ。もう一人の優秀そうな人も外資系投資会社に行ったというが直後に経済危機が発生したのでどうしているかは知らない。コンサルも20年以上の経験があれば何とかなるのだが。先走った行動してもうまく行かないことが多い。ADBも昔は輝くほど給与が良かったが1ドルが90円じゃ何の魅力もない。外交官特権で無税もあるが、だからと言ってモノばかり買ってもしようがないし、マニラにずっといる不自由はない。ドクターでも取って日本の大学の先生なる手もあるが、それも昨今では難しい。時代は大きく変化している。

さて、本題に入ろう。

情報収集と分析は何もCIAだけの話ではない。コンサルにとっても最重要課題である。今日も省内で人事の情報が乱れ飛んだが、それらを得る人脈がないといけない。意外な情報は意外な人から得られることが非常に多い。2月2日は何の因果か情報セキュリティーの日だという。

下記に関連記事を転記する。

....................................................................................
2月2日は「情報セキュリティの日」
RSAセキュリティ、企業の「情報漏えいを防止する5ヶ条」を提唱


RSAセキュリティ株式会社(本社:東京都千代田区、代表取締役社長:山野 修)は、総務省が定めた2月2日の「情報セキュリティの日」にむけて、情報の漏えい事件、事故を企業が予防するためのセキュリティ指標、「情報漏えいを防止する 5ヶ条」をまとめました。

2009年を振り返ると、社員による顧客情報の意図的な持ち出し、Webサイトから顧客情報が閲覧可能、ファイル共有ソフトによる情報流出、PCの盗難やUSBメモリーの紛失など、企業情報は様々な手口により流出し、ガンブラーによりWebは脅威にさらされました。事件、事故の発生後は、原因調査や謝罪の費用に加え、取引先の減少、顧客離れ、企業イメージの低下など、様々な二次的損失を生み出しました。これらの多くの実例により、情報漏えい事件、事故の発生は、企業の存続に関わることが明白になってきました。

セキュリティ戦略に基づいた対策のPDCA(PLAN計画-DO実行-CHECK評価 -ACT改善)を全社的かつ継続的に行うことにより、企業情報の漏えいリスクを大幅に低減させることができます。対策は、特定箇所への対症療法的な方法のみでは効果が期待できません。セキュリティ・ポリシーの確立、トップダウンによるセキュリティ意識の徹底、社員のセキュリティ教育、ルールを遵守しやすい仕組み作りなど、人に結びついた対策も重要です。

そこで情報セキュリティ・プロバイダーのRSAセキュリティは、情報漏えいを予防、防止するために必要な5ヶ条を次のとおりにまとめました。

企業の情報漏えいを防止する5ヶ条

第1条 自社のビジネスに重要な情報が「何であるか」を知る
重要なデータとは、事業を継続、発展させていくために不可欠な情報と定義します。すなわちリスクが高い情報と言い換えることができます。対応の優先順位をつけるために、重要度で情報を区分することがセキュリティの第一歩です。


第2条 情報が「どこにあるか」を把握する
情報が存在する場所はデータベースのみと考えがちですが、アプリケーションのプロセス、ネットワーク、アウトプットにも存在します。アウトプットとは、プリンターやUSBメモリー、個人用のPCなど、情報の利用後にそのまま保存されているものです。社外秘をついうっかり、しゃべってしまう口(くち)も、忘れてはいけません。


第3条 情報に対する「リスク」を知る
リスクは、脅威、脆弱性、被害回復にかかる時間とコストから推定できます。脅威を想定する重要ポイントは、「どのデータを誰が欲するか」を考えることです。情報のリスクモデルを考えることにより、戦略の立案、対象の洗い出しや対策の検討が容易になります。 第4条 リスクに対して「セキュリティ対策」を施す対策は、最も重要なデータを優先し、重要度の区分に相応する対策を実施します。対策は、1つだけではなく、重要データを中心に置いてたまねぎのように幾重にも施すのが理想的です。


第5条 セキュリティ対策を継続的に「監視」する
ビジネスと同様に、情報も時間経過により重要度が変化します。従ってセキュリティ対策は、生き物ととらえ、定期的に効果と効率を見直し、安全性が保たれているかを確認し、改善を重ねながら継続することが推奨されます。


情報は、重要度と場所を変化させながら存在し続けます。セキュリティも情報に対する順応力を持たなければなりません。セキュリティは生き物と言われるのはこのような理由からです。長期にわたり無理なく維持できるセキュリティ対策こそ、健全な企業経営と情報の積極活用につながります。 RSAセキュリティは、企業の皆様にこの5ヶ条を対策のヒントとしていただき、情報漏えいのない社会となることを願っています。

以上


情報セキュリティの日について
平成18年10月の第8回政策会議において、基本計画が定められた毎年2月2日を「情報セキュリティの日」とし、情報セキュリティの向上への気運を全国的に波及・浸透させるとともに、広く官民における意識と理解を深めることを目的に、その前後の期間において、政府機関はもとより、広く他の関係機関、団体の協力の下に、国民各層の幅広い参加を得た取組みを集中的に実施することと定められました。この実施にあたっては、内閣官房が警察庁、総務省、文部科学省及び経済産業省の協力を得て推進しています。
http://www.nisc.go.jp/isd/index.html
.....................................................................................

参考になるでしょうか?!

0 件のコメント: