セキュリティコラム
- Sales department
- fc-ume
最近の記事
バックナンバー
2009年11月30日 [ コラム ]
情報の格付け
ついこの前まで半袖で外出していたが、今年も残り1ヶ月。
少々焦りが出てきたのは筆者だけだろうか?
さて、前回に引き続き、情報セキュリティに関する概論的な話をしたいと思う。
情報セキュリティとは、
(1)機密性
(2)可用性
(3)完全性
の3要素から構成されているわけだが、この詳細は前回のコラムを参照いただくとして・・・、今回は『情報の格付け』について。
堅苦しいタイトルであるが具体例をあげて整理すればさほどでもない。
要するに、日常扱っている情報を第三者に見てほしいもの、漏らしてはいけないもの、間違っていてはいけないものなどに分類し、分類された情報ごとにどのように取り扱えばいいか決めるということである。
筆者は情報セキュリティを考えるにあたり、この『情報の格付け』が最もキーになると思っている。
筆者の職場での事例を紹介すると、仕事は自社開発製品を販売する営業部門であり保有している情報は次のようなものがある。
(1)販売製品PR情報(製品カタログなど)
(2)顧客情報(見込先含む企業名など)
(3)販売製品仕入・販売情報(見積書など)
(4)契約書(保守やライセンスに関する契約書など)
ざっと並べてみてもこれくらいである。
これらの情報はそれぞれ違った特徴があり、それに見合った取扱いをする必要がある。
自分がどんな情報を取り扱っていて、その情報が「(1)機密性(2)可用性(3)完全性」の観点でどういったレベルのコントロールをすべきかを分類整理するのである。
これが情報資産の棚卸であり、情報セキュリティを構築するにあたっての第一歩であると考える。
当社ではセキュリティレベルを3段階に分類して格付けを行っている。
※「3」がセキュリティレベルが高いことを示す。
|
機密性
|
可用性
|
完全性
|
|
| (1)販売製品PR情報 |
1
|
3
|
3
|
| (2)顧客情報 |
3
|
2
|
3
|
| (3)販売製品仕入・販売情報 |
2
|
2
|
2
|
| (4)契約書 |
3
|
3
|
3
|
といった具合である。
ところがもう一つ大事な問題がある。
情報のライフサイクルである。
たとえば、(1)にあたる製品カタログは、できるだけ多くの人に見てもらい、製品導入のきっかけとしていただきたい。
ただし、製品リリース前においては機密性を十分に保つべきである。
また、すでに生産中止となった製品カタログをホームページなどに掲載していた場合、お客様に誤解を与えないためにも掲載を停止する必要がある。
つまり、同じ情報でもタイミングによって取扱方法が変化するということである。
保有する情報はそのライフサイクルまで考慮し、情報セキュリティレベルの格付けにあわせて分類する必要があるのだ。
ここまでご理解いただけただろうか?
少々堅い話から抜けられなくなってきたが、次回は『リスクと脅威』について。
