例年、「夏になると確実に電力が不足する」ため、インターネットやテレビ・雑誌では節電・省エネ対策のポイントが取り上げられ、企業では早朝出勤や休暇時期をずらしたり、家庭では消費電力の低いエアコンや扇風機の売上が伸びたりします。つまり、問題となる時期や事態がはっきり決まることで、対策はより立てやすくなるのではないでしょうか?
◆情報セキュリティ対策もまず「状況をイメージする」ことから始めましょう
「セキュリティ対策は何からやればいいのかわからない」とおっしゃる方は多くおられます。恐らく、いつ、どんな形で、起きるかわからないものに対して対策するということが、難しくしている1つの原因かもしれません。確かに、不確定要素が多く存在すると、何から手を付けてよいのか解らなくなります。
そんなときは、不確定要素を仮確定して「状況をイメージする」ことから始めてみてはいかがでしょうか?
- 何を守るのか?
情報の持つ価値は常に変化しています。現時点で「守るべき情報資産があるか?それは何か?」をイメージしてみてください。「守るものがある」場合は、まずそれらがどこにあるかを把握し、次に守らなくてもよいものと分離できているかどうかを考えてみてください。また、現時点では「守るものはない」と判断した場合でも、見直し時の判断材料とするため、以下のような判断理由(基準)を記載しておきましょう。- 情報資産一覧(対象範囲)
- 対象とする脅威(想定する発生頻度)
- 与える影響の大きさ
- 対策基準
- 何から守るのか?
「社外」への対策を行うのか、「社内」への対策を行うかによっても、方法はまったく異なります。直近に起こった情報漏えい事件などを例に、自社の場合に当てはめてみて、不安要素がないかどうか、常にチェックしてみることも、どのような事象に対する備えが必要になるかの参考になるでしょう。 - 起きた後はどうするのか?
いつ起きるかわからないものに対しては、意識しなければ行動がいつまでも起こせません。起きることを前提にして、予防策~善後策(被害の調査方法や、被害を最小限に抑える対策など)まで一連の流れをイメージしてみると良いでしょう。
流出した情報を回収することにどれだけコストがかかるか、信頼や信用を失うことことによるダメージの大きさがどのくらいか、などのイメージができれば、事前/事後対策にかける割合も把握しやすくなります。