今回もネット戦略に関するお話をします。今回は社内・社外ではなくて全体的なネット戦略を補完するものです。
前回までに
・社外 販促・認知度向上
・社内 業務情報の発信・共有・利用の強化
の話をしました。これとは別に両方に共通して戦略として押さえておくこととして、情報セキュリティがあります。
以前までは情報セキュリティは戦略の一部のような取り扱いを受けていましたが、内容が多岐にわたることや対策が専門的なことから最近は独立して扱っているケースが多いです。
また、デジタル情報はもちろんですが、印刷物やメモなどのアナログ情報も視野に入れておく必要があります。情報はデジタルだけではありません。
さて、情報セキュリティについてはいろいろ考えることがありますが、いろいろ考えるとかえって混乱しそうです。基本的な視点は3つなので、まずはこれを抑えましょう。それは情報資産の機密性、完全性、可用性です。JIS Q 27001の説明では、
Confidentiality(機密性):許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性
Integrity(完全性):資産の正確さ及び完全さを保護する特性
Availability(可用性):許可されたエンティティが要求したときに、アクセス及び使用が可能である特性
となっています。頭文字をとって情報のCIAと呼ぶこともありますが、ちょっとわかりにくいですよね。目的を意識した安易な表現に置き換えると
・漏らさないこと
・改ざんされないこと
・いつでも使えるようにすること
です。もう少し具体的にいうと
漏らさないように見ていい人だけに見れる環境をつくる。つまりIDやパスワードの設定はもちろん、ファイル・フォルダ側にも見れる人を制限するようにしてください。
改ざんされないようにデジタル署名のような仕組みは理想ですがどちらかというと最新の状態をわかるようにすることやデータのダブルチェックのような形で正確さを確保するほうを先に意識してください。
いつでも使えるようにすることは万が一、なくしても大丈夫な状態にすることです。バックアップやシステムの代替方法などを考えて実施できるようにすることです。なくさないようにすることが理想ですがなくすことを前提になくしても困らないようにしてください。
もちろん、悪意のある第三者からの攻撃に備えて、OSやソフトウェアのバージョンアップやウイルス対策ソフトの導入、実際の事例を通して、攻撃の手口や何が起きるのかを社員全員が学ぶようにすることも大切です。特に社員の意識向上はどんな物理的な対策よりも有用ですので、優先的に取り組むようにしてください。最近のトラブルの多くが物理的な問題より社員のレベル的な問題に起因することが多いからです。
これらはネット戦略としてというよりIT戦略としての要素が強いですが、ネットに接続することでより危険度が増すことを考えるとネット戦略と対となって考えましょう。もし、既に独立した戦略があるのならば、ネット戦略との整合性を取るようにしてください。