コンサルティングインサイト
第7回 ITリスクへの対応 -「管理方法から見たセキュリティー対策」-

2010年3月23日

(1)広がる企業におけるインターネットの利活用
今やインターネットは社会インフラの一部となってきている。インターネット利用者数(※1)は平成20年末に9091万人と、平成10年末(1694万人)の約5.4倍に拡大している。人口普及率でみると平成20年に75.3%に達しており、10人に7人はネット利用者である。
さらに、企業におけるインターネット利用率をみてみると全体で99%、従業員規模別では500人以上の企業では100%利用されている。電子商取引(インターネットを利用した調達・販売)を実施している企業は、50.6%と2社に1社が電子商取引を行っているという結果であった。業種別に見て実施率が高いのは、「製造業」(57.4%)、次いで「金融・保険業」(55.7%)。また、実施内容は、BtoBとなる企業向けでは「製造業」が調達(43.2%)および販売(11.5%)と他業種に比べて最も高く、BtoCとなる個人向けでは「金融・保険業」(31.1%)が最も高くなっている。
また、インターネット広告の実施については、企業全体では31%が実施し、業種別では「金融・保険業」(47.2%)、「サービス業・その他」(39.7%)、「卸売・小売業」(30.4%)の順に実施率が高かった。

(2)インターネットの利活用における不安
しかし、インターネットの活用が便利な反面、インターネットの持つ脆弱性をついて、情報漏洩やホームページの改ざん、ウィルス感染、不正アクセスなどの事件が発生し、社会的な影響ばかりでなく企業経営のリスクとして無視できなくなってきたことは、周知の通りである。
このような状況を国民や企業はどう感じているのであろうか。総務省が実施した情報通信利用に対する課題の意識調査では、国民も企業も「情報セキュリティー」「プライバシー」「違法・有害コンテンツ」の3テーマに対して不安感が強いと回答している(※2)。(図表1)
国民が、情報通信を利用するにあたって「不安」(「不安である」「どちらかといえば不安である」の合計)を感ずるとした割合は、それぞれ「情報セキュリティー」82.6%、「プライバシー」81.8%、「違法・有害コンテンツ」75.5%といずれも8割近くに達している。
インターネットは既に社会的インフラの一部であり、これらの不安を公的な立場から規制や排除によって取り除こうとすると、インターネットの利便性や効率性は損なわれることになる。まずは、企業や国民によりこれらの不安を取り除く自主的な取り組みが求められることになる。

(図表1)安心・安全10分野における国民の不安感
(図表1)安心・安全10分野における国民の不安感
(出典)総務省「ユビキタスネット社会における安心・安全なICT利用に関する調査」(平成21年)

(3)企業のIT利用におけるセキュリティー対策の考え方と管理方法
それでは、企業のIT利用におけるセキュリティー対策ではどのような点に考慮すべきだろうか。セキュリティー対策を考える上では、まずリスクを認識することが第一歩である。
ITにおけるリスクの3大構成要素は、「情報資産」「脅威」「脆弱性」である。
「情報資産」とは、ITを構成する要素であり、ハードウェア・ソフトウェア・ネットワーク・データなどが対象であり守るべき価値を持つものである。

「脅威」は、システムやシステムの管理・運営上、情報資産に被害をもたらすもの、損害を発生させる原因となるものである。脅威をもたらすものとして一般的には災害が想定されるが、それ以外では人間が関与することが多い。その人間も組織外ばかりでなく、本人に悪意があるかどうかに関わらず組織内部の者による損害発生も忘れてはならない。
「脆弱性」とは、先の「情報資産」に損失を発生させる可能性を高めたり、損失を拡大させる原因となるものである。
損失を発生させる「脅威」と脅威を招く「脆弱性」が把握できれば、セキュリティー対策を考えることができる。
セキュリティー対策を考える場合、いくつかの見方がある(※3)がここでは管理方法から見た場合のセキュリィティー対策を紹介したい。
管理方法では、「技術面」「運用面」「セキュリティーポリシー面」の3つの視点から対策が考えられる。
セキュリティー対策というと、一般的にはセキュリティーソフトの導入やサーバーを導入してファイアウォールを置くという「技術面」での取り組みがわかりやすい。しかし、セキュリティーのソフトやハードを導入しただけでは、社内の情報利用者が勝手にデータを持ち出したことによる情報漏えいや、自分のデスク上のPCにフリーソフトをインストールすることによるウィルス混入などを完全に防ぐことはできない。業務上のルールや管理、教育などの「運用面」での手当てが必要となる。さらに、全社員に対して守るべきルールとして規則や手順を策定し、周知徹底させる、つまり「セキュリティーポリシー面」での手当てが必要となってくるのである。

(図表2)管理方法から見たセキュリティー対策の具体例

対策の分野 具体例
技術面 ウィルスソフトやサーバーの導入、ファイアウォールの設置、通信内容やファイルの暗号化、ログの保存、パッチ
運用面 データの取り出しのルール、入退室管理、マニュアルや管理簿の作成・徹底、従業員への定期的な教育、定期的な内部監査、各現場での意識調査
セキュリティーポリシー面 社内規程の整備、インターネット利用規程、罰則等の作成

(出典)各種資料より大和総研作成

(4)おわりに
情報セキュリィティー対策も、一般のリスクマネジメントと同様、ここまでで終わりというものでもないし、これで完璧だということもない。一方、特別なことをするのではなく、既存のリスクマネジメントの取り組みのように、目的を明確にして体制を整備し、PDCAを継続的に回していくことで情報セキュリティー対策は実践されていくのである。
企業のITリスクへの対応が、企業の社会的責任を全うするだけでなく、信頼性やブランドの向上につながることを念頭において、前向きに取り組まれることを期待したい。

(※1)総務省「平成20年通信利用動向調査」(平成21年4月7日)
(※2)総務省「ユビキタスネット社会における安心・安全なICT利用に関する調査」(平成21年)
(※3)例えばリスク管理から見た場合のセキュリティー対策は、下記の通りである。
「保有」では、準備金の積み立て、緊急時の予算手当。「低減」管理者の複数化・限定化、データの分散配置、ネットワーク管理ツールの利用、がある。「移転」アウトソーシング、コンピュータについて損害保険へ加入、などがある。「回避」インターネット利用自体の取りやめ、サービス停止、などである。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。

お気に入りへ登録

この記事を「お気に入りレポート」に登録しておくことができます。

このレポートのURLを転送する

  • @

執筆者紹介

お問い合わせ

PDFファイルの閲覧にはAdobe® Reader®新しいウィンドウで開きますが必要となります。お持ちでない方は、アドビ システムズのウェブサイトから無償ダウンロードができます。
なお、Adobe® Reader®のインストール方法は、アドビ システムズ ウェブサイト新しいウィンドウで開きますをご覧ください。

Get Adobe® Reader®

コンサルティング

コンサルタント

セミナー