今回からテーマを変えて「情報セキュリティ」について、お話ししたいと思います。
"情報セキュリティ"と小難しく言うと
「いやあ、ウチのような会社にはセキュリティなんて、全く関係ないですよ」
なんて、経営者・管理者の方からも言われることが多いのですが、私はいつも「それは"セキュリティ"という言葉が、誤解されているからなんです」と、お答えしています。
<あっ、「いつも」というのは大げさで、場の雰囲気で「まあ、そうですよね・・・」なんて答えることもありますが(苦笑)>
「情報セキュリティ」という言葉をwikipediaで検索すると、以下のように定義されています。
情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。それら三つの性質の意味は次のとおりである。(https://ja.wikipedia.org/wiki/情報セキュリティ )
・機密性 (confidentiality): 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保すること
・完全性 (integrity): 情報が破壊、改ざん又は消去されていない状態を確保すること
・可用性 (availability): 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保すること
上の「機密性」「完全性」「可用性」のうち、"情報セキュリティ"という言葉は「機密性」、あるいはせいぜい「機密性」+「完全性」を思い浮かべるのではないでしょうか?
たとえば、外部に個人情報が漏れたとか(機密の漏洩)とか、サイトが改ざんされた(完全性)とか。
でも、「セキュリティ」という言葉の中には「可用性」も含まれているんですね。
この「可用性」とは、簡単に言えば、「さっきまで使えていたPCが動かなくなった」とか、「急にメールが使えなくなった」などの
"必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保"ができなくなることを防ぐ
も含まれるんですね。もちろん、皆様の中で、ECサイトなどを開設されている場合、何らかの障害が発生して、皆様のお客様が使えなくなることも、セキュリティの問題だということになります。
従って、"情報セキュリティ"という言葉が、皆様にとっても意味のある言葉だということが、ご理解いただけるかと思います。
で、この「情報セキュリティ」、中小・中堅企業の皆様は、どのように取り組めばよいでしょうか?
ぜひとも、中小・中堅企業のITの管理者(IT管理者がいない場合は、結果的にITの面倒を見ている担当者の方、あるいは経営者の方)に読んでもらいたい小冊子があります。
小さな中小企業とNPO向け情報セキュリティハンドブック
これは内閣サイバーセキュリティセンターというお役所の部署が最近、発行した小冊子で、無料でお読み頂けます。
これは中小企業やNPO法人のご担当者だけでなく、中堅企業のITご担当者の方にもおすすめのハンドブックです。
章立ては
- まずは情報セキュリティの基礎を固めよう
- パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう
- 被害に遭わないために、加害者的立場にならないために
- 会社を守る、災害に備える、海外での心構え
- ITを使った効率化によるセキュリティコスト捻出
- セキュリティをより深く理解して、インターネットを安全に使う
ちなみに、私は先に「小冊子」と書きましたが、実は170ページ近くある「本」なので、それなりにじっくり読む必要があります。
というわけで、
"セキュリティ対策を考えるのなら「小さな中小企業とNPO向け情報セキュリティハンドブック」を読んでくださいね"
でシャンシャン♪なのですが、なんせ170ページもある本ですから、次回以降は、このハンドブックで、皆様に大切だと思うことをかいつまんで、お話ししていきたいと思います。
では、次回もよろしくお願い申し上げます。
