情報セキュリティを保つということは組織が保護すべき情報やシステム（以下まとめて情報資産という）に対して、「機密性（Confidentiality）」、「完全性（Integrity）」、「可用性（Availability）」を維持し、改善することです。この３つの特性を総称してCIAといいます。

　CIAの各要素のどれが最も重要かは、ビジネスの特性や情報システムの特性により異なります。リモートアクセス環境においては、例えば配送支援システム（1.4.4参照）やＳＦＡ（1.4.5参照）などのように、リモートアクセスをビジネスの中核においている場合には、可用性の喪失がビジネスへ直接的に影響を与えますが、それ以外では、機密性の確保がほかの要素の確保より重要になる場合が多いといえます。
　

　セキュリティ向上のための施策を機能面からとらえると、以下の５つの側面に展開されます。

上記(2)に示した５つの側面それぞれに対して、各種の技術が開発されていることは第７章に述べているとおりですが、十分なリスクの評価も行わずにいたずらにそれらの技術を導入しても十分なセキュリティ強度を得られない恐れがあります。また、むやみにセキュリティ強度を上げようとすると、コストがかかる上に、運用上の困難を伴う場合が多く、ユーザーの利便性を損なうことがあります。
　従って、対象とする組織の情報システムの特質及びリスクを十分理解し、それに合った対策を導入しそれらをきちんとマネジメントする仕組みを構築することが重要です。そのためにはまず、組織が保有する情報資産の価値、情報資産の処理形態を見極め、その環境における脅威と脆弱性を認識し、その脆弱性を克服する手段を検討すべきです。
　リモートアクセスは、ビジネスにとって効率性、利便性を向上する方法ですが、一般にリスクの多い環境で利用され、更にオフィス環境と異なりインシデント時の対応が十分ではない場合が多いので、特に予防・検出に重点を置いて対策を考えるべきです。早期にインシデントの検出を行い、何らかの不具合が見つかった場合には直ちにアクセスを中断し被害の拡大を防ぐことが求められます。
　今後は、リモートアクセスの利便性を犠牲にしないでセキュリティ強度を確保する方法が求められます。
　

コース （A  B  C  D  E）

リモートアクセス環境における技術対策として、VPN(7.6.1参照)の使用やウィルス対策ソフトウェアの導入、ログイン時のユーザーID、パスワードの使用などの技術的な対策がありますが、それらを単に導入しただけでは、十分なセキュリティは得られません。それらを使うユーザーに対して、ウィルス対策ソフトウェアのウィルス定義ファイルを常時最新に更新することやパスワードの設定および変更を適切な手順に従って行うような教育が必要になります。このように、組織として取り組むべきポイントは以下が挙げられます。

情報セキュリティに対する組織のマネジメントの仕組みは一般に情報セキュリティマネジメントシステム（Information Security Management System）といわれ、略してISMSといわれます。ISMSに関しては、2005年10月にISO27001という国際規格が制定され、日本でもそれに対応して2006年5月にJIS Q 27001:2006として規格化されました。
　

コース （A  B  C  D  E）

企業経営ではPDCA（Plan,Do,Check,Act）サイクルをまわすことが重要だといわれていますが、これは情報のセキュリティ対策についても同じです。特にリモートアクセスの場合のセキュリティに関してはそれを脅かす脅威は日々変化しており、一度セキュリティ管理システムを確立すればそれで安心というわけにはいきません。セキュリティ管理システムのPDCAは以下の様に考えられ、常に状況の変化に応じた見直しと改善が求められます。

 　このサイクルを環境の変化に応じて、組織の各部門あるいは各層でまわすことが重要です。
　

コース （A  B  C  D  E）