【図解】コレ１枚でわかるサイバー・セキュリティ対策の構造

＊先般、発売となった「【図解】コレ1枚でわかる最新ITトレンド［新装改訂3版］」の出版後、追加作成したテーマについて、何回かに分けて連載します。

サイバー・セキュリティ対策とは、「ITの価値を最大限に享受するための安全・安心対策」とも言えるでしょう。具体的には、以下の２つの目的の達成を目指すことです。

• 何かインシデントが起きたときに事業を止めず、被害の範囲を限定して「事業継続」を可能にすることと
• その原因や影響が説明できる「説明責任」を果たせるようにすること

そのための手段として、情報資産やシステム資産を守る「情報保護」が必要となるのです。

それぞれの目的について、整理しておきましょう。

事業継続

事業を継続するには、インシデント発生を抑制し、仮にインシデントが発生しても、その被害を最小化しなくてはなりません。

そのための手段として、マルウェアやウイルス、不正侵入やシステム破壊などの不正行為から、情報資産やシステム資産を守る必要があります。つまり、ITを利用するに当たって、安心・安全が保証された業務プロセスを作り、これを維持することが必要となるのです。

ただ、そのために、従業員に意識させ、手間をかけさせ、無理をさせていては、生産性も利便性も損なわれます。従業員に意識させず、負担をかけずに、安全・安心に業務ができる環境を提供することが大切となります。

そのためには、インシデントを発生させない業務プロセスの設計と業務手順の簡素化、従業員の教育、システム技術的な対策などを行わなくてはなりません。

このような取り組みを通じて、ITの価値を最大限に引き出し、次の２つの達成を目指します。

• 業績向上：効率よく業務を遂行して事業の成果に貢献し、業績を向上させること
• 的確な経営判断：経営状況が正確かつタイムリーに報告・見える化されることで、的確な経営判断を行えるようにすること

説明責任

情報システムを利用するためには、次の3つの手続きを踏まなくてはなりません。

• 識別：IDでITサービスを使える従業員であるかどうかを確認すること
• 認証：パスワードなどで、そのユーザーが本当に本人であること確認すること
• 認可：そのユーザーの属性に応じてアクセスできる範囲を確認すること

これによって、情報システムが利用できるようになると、その利用履歴がIDに紐付けられて全て記憶されるようにしておきます。

こうすることで、インシデントが発生したときの原因や影響、責任の所在が説明できるようになります。見方を変えれば、不正を行わない限りに於いて、セキュリティに関わる事故や不正の責任から従業員を守ることができます。また、不正を抑止することにもなります。

「コレ１枚」シリーズの最新版　第2版から全面改訂

新しく、分かりやすく、かっこよく作り直しました

ITビジネス・プレゼンテーション・ライブラリー