ある会社での出来事です。Sさんが会社の情報管理担当者になって、もう3年になります。もともとコンピュータが好きなSさんだけあって、会社内の情報セキュリティ対策は万全と考えています。
それぞれの社員が使用するコンピュータはもちろん、サーバにもウイルス対策ソフトが導入されています。ウイルス対策ソフトに対しては、定期的なウイルス検知用データの更新も行っています。そして、外部からの侵入に備えて、ネットワークにファイアウォールも装備しました。
しかし、ある日、Sさんがインターネットの電子掲示板を見てみると、なんと自分の会社の顧客情報が漏洩していることがわかりました。いったいどうして・・・。
最近では、このように情報セキュリティ対策を施していたにも関わらず、情報が漏洩してしまったという事例も増えています。たとえば、このケースでは、ある1人の社員が仕事のデータを自宅に持ち帰った際に、自宅のコンピュータがウイルスに感染していて、そこから個人情報が漏洩してしまったということが考えられます。もしくは、誰かが業務データファイルの保存されていたUSBメモリをどこかで紛失してしまったのかもしれません。つまり、情報セキュリティ対策には、万全なものはないのです。
個人情報や機密情報を保有する企業や組織は、システムやソフトウェアによる情報セキュリティ対策だけでなく、厳密な社内ルール(情報セキュリティポリシー)の策定とその徹底、データベースやファイルサーバに対する権限設定など、多角的なセキュリティ対策が要求されるものです。
情報管理担当者は、基本的な情報セキュリティ対策だけでなく、社員への教育の徹底も、大切な情報セキュリティ対策のひとつであるということを心に止めておいてください。
また、情報セキュリティ上のリスクは、時間とともに変化するものです。そのため、現状の情報セキュリティ対策に満足するのではなく、最新の情報セキュリティ脅威の動向に常に気を配り、継続的に対策を見直すことが大切です。
