情報セキュリティ

しばらく間が空いたこともあり、趣を変えて情報セキュリティについて書いてみます。
セキュリティのイメージは、人により、仕事や立場によって大きく異なります。現役時代に、ユーザー研究会のアドバイザーでセキュリティを担当した際に、同じシステム部門で分野に興味をお持ちの方同士でも大きく異なっていることを知りました。
ご存知の方も多いとは思いますが、今日では情報セキュリティは「ISO/IEC 27001、JIS Q 27001」という標準規格があり、それに準拠したマネジメントシステムを構築・維持していることを認証してもらう制度があります。これは、ISMS(information security management system）認証と呼ばれており、他にプライバシーマークで知られている「JIS Q 15001：個人情報保護マネジメントシステム」認証制度というのもあります。前者は「広く情報資産のセキュリティを管理するための枠組みを策定し、実施する」ことを狙いとしているのに対し、後者は「個人情報の保護」に焦点を当てている点が異なり、業種・業態によっては両方の認証を取得されている会社も少なくはありません。
ただ、多くのNPO法人や小規模会社では、顧客情報などに対する情報セキュリティの重要性が判っていても、なかなか対策が打てていないのが現実かと思われます。そうした団体での指針の一つとなるのが、独立行政法人情報処理推進機構でまとめられた「中小企業の情報セキュリティ対策ガイドライン」となります。団体の実情や使用している制度やツールに合わせた取捨選択は必要と思われますが、セキュリティ管理ではよく言われる「桶の理論」に沿って脆弱な部分を見つけ、その対策を講じる時の指針になると考えます。