セキュリティコラム

最近の記事

• 止まらない情報漏えい「紛失」
• 止まらない情報漏えい「標的型メール攻撃」
• 内部不正はなぜ起こるか？
• モバイルパソコンの暗号化
• いざという時

• コラム

バックナンバー

選択してください 2015年7月 2014年9月 2012年9月 2012年5月 2012年3月 2011年11月 2011年9月 2011年7月 2011年6月 2011年4月 2011年3月 2011年2月 2011年1月 2010年12月 2010年11月 2010年10月 2010年9月 2010年6月 2010年3月 2010年2月 2009年12月 2009年11月 2009年10月 2009年9月 2009年8月 2009年7月 2009年6月 2009年5月

「当社のホームページがガブられた！」

最近、ガンブラー型攻撃を受けることをこう表現するらしい。
当社もガンブラー型攻撃を意識し、セキュリティ対策は万全に行っているつもりではあったのだが･･･。この件については改めてコラムで取り上げてみたいと思う。

さて、今回は『リスク対応の実際』である。
そろそろ堅い話から抜けたいところもあるので、身近で具体的な話にしていきたい。

前回までに、リスク対応の種類には【軽減】【容認】【回避】【転嫁】があり、一般的にセキュリティ対策と呼ばれる行為は【軽減】であることを説明した。
この軽減させるための方法を文字どおりの「軽減」ではなく「限りなくゼロ」を目指してしまうと、身動きの取れない、がんじがらめのルールとなってしまう危険性がある。

つまり、ある一定レベルまでのリスクは容認し、軽減だけでなく転嫁や回避などの方法も考え、許容できるリスクレベルを経営判断して運用して行っていくことが必要であり、情報セキュリティ対策を適正に企業活動に組み込んでいくことがポイントになるのだ。

例えば、社外にも持ち運べるノートパソコン。いわゆるモバイルパソコン（以下、モバイルPC）だが、個人情報保護法が完全施行され、情報セキュリティ対策が最も注目を浴びた2005年頃、モバイルPCの持ち出しを一切禁止する企業がとても多かったように思う。
以前のコラムでも書いたが、こんなに軽くて高性能なモバイルPCを持ち歩かないなんて･･･、と筆者の意見は変わってはいないのだが。

さて、5年経った今はどうだろうか？

著者のまわりでは、特にセミナー会場などでモバイルPCを持ち歩く光景を目にすることが増えたように感じる。これは、何らかのセキュリティ対策を施したことの表れだと思うが、リスク対応を行い、結果としてリスク値を下げることができれば、本来あるべき"利便性"を取り戻すことができるのである。

実際のリスク対応となると、そのひとつに、モバイルPC内のデータ暗号化による情報漏えいのリスク軽減が考えられる。

モバイルPCにおける最大の情報セキュリティリスクは、PCの紛失・盗難などによる機密情報の漏えいであるが、このことはよくマスコミで報道されているとおりであろう。
そして、リスク軽減のツールとしてよく使われるのが、モバイルPCのハードディスクを丸ごと暗号化してしまうシステムや、必要なファイル、フォルダを暗号化するソフトウェアなどである。

モバイルPCを社外へ持ち運べるようになったのは、これらの措置によりリスク値を下げ、更には企業として許容できるリスクレベルまで下げたことによる結果であろう。
もちろん対策を講じるには時間とコストがかかる。しかし、必要な手順を踏めばある程度の利便性を取り戻すことは可能なのだ。

今回のような身近な話も含めて、もう少し『リスクと利便性』について掘り下げたいところだが、冒頭に記載した、「当社のホームページがガブられた！」ことは、その後の対応も含め、皆さんが気になるテーマだと思うので、次回のテーマは『ガブられた！』としたい。

Tweet