|
セキュリティ対策は、技術的対策と制度的対策に大別することができます。技術的対策は、セキュリティを守るための直接的対策ともいい、制度的対策は、セキュリティを守るための管理面での対策で、間接的対策ともいいます。
判明している脅威に対する技術的対策はほぼ出揃っていますが、100%大丈夫という対策は無く、また、脅威と対策はいたちごっこになっているので、常に新しい脅威が発生することを想定しておく必要があります。
また、技術的セキュリティ対策は強化すればするほど費用が掛り、使い勝手も悪くなります(手間が増えたり、応答速度が遅くなったりする)。したがって、技術的対策だけで対応するのではなく、制度的な対策も強化して、両方でバランスの良い対策をとる必要があります。
セキュリティ意識を向上させ、利用者には多少の不便も許容してもらうこと、経営者にはセキュリティ強化への妥当な投資を認めてもらうことが重要です。セキュリティ投資は後ろ向きの投資と考えられがちで、後まわしにされることが少なくありません。しかし、情報化しないで事業の拡大は望めませんし、情報化するためにはセキュリティ対策は必須の条件です。自動車に乗るときには自動車保険に入ることが必須であることと同じです。「水と安全はただ」の時代は終わりました。「まさか、我が社は大丈夫」ではありません。コストと使い勝手の両面で、バランスの取れたセキュリティ対策を行うことが必要です。そのためには、十分に検討したセキュリティ対策基本方針(セキュリティポリシー)(5.3参照)を設定し、利用者や経営者の理解を得ることが重要です。このとき参考になるものとして、次ページに紹介する「政府機関の情報セキュリティ対策のための統一基準」があります。
|
