カテゴリー

VIXIAの概要

最近のエントリー
アーカイブ
RSSフィードRSSフィード

このブログのRSSフィードを登録しましょう [ フィードとは? >> ]
関連サイトリンク

ケータイマーケティングソリューション

Eメールマーケティングのmiems(ミームス)

SEM管理サービスEfficient Frontier(エフィシエントフロンティア)

VIXIA ブログ

なかのひと


なんとなく情報セキュリティ part6:風邪と情報セキュリティ

« 前の記事 | 次の記事 »

風邪が流行る季節ですね。私もこの冬、ちょっと風邪をひいてしまいました。早めに休養とって卵酒飲んで治しちゃいましたけど。やっぱり体調崩したときは卵酒ですねー。

 ところで、一見無関係の「風邪と情報セキュリティ」ってのも、実は関係があるんですよね。
hanafu

■漏えいを防ぐだけじゃ足りない

 ○○万件の個人情報流出!損害額○○億円!日々、マスコミに流れる情報セキュリティ絡みの報道は、センセーショナルな数字が出てくる、漏えい事件が中心です。どうしても、経営にインパクトを与えるのは、「お金」のことですから、情報セキュリティ=漏えい防止 と経営陣が考えてしまうのも、無理からぬことでしょう。

 でも、ISO27001で定義されている情報セキュリティリスクは漏えい防止に当たる“機密性”だけでなく、“完全性”“可用性”というものも挙げられています。

 “完全性”というのは、情報が間違ったり無くなったりしないこと。
 “可用性”というのは、使いたいとき使えること。です。

例えば情報を「資産」と捉え、同じ「資産」である「現金」として考えたら。
現金が盗まれて使われちゃったら困りますね。これが「機密性の喪失」に当たります。
100万円あると思ってたら、実は20万円しかなかったら困りますね。これが「完全性の喪失」に当たります。

そして、間違いなく現金はある。金庫の中に入れてある。盗まれてもいない。だけど、鍵を失くしちゃったんで、取り出せない。っていう状況。これが「可用性の喪失」に当たります。

どれも現金が使えなかった、っていう意味では同じです。



■属人化リスク

さて、じゃあ、情報はちゃんとあるのに使えない状況ってどういうときでしょう。これが、意外にピンとこない方が多いんです。こういう問いをすると「情報は、ちゃんとサーバに入ってるし、バックアップも出来てる。使えないってことは考えにくいんだけどなぁ。。。。」って返答が返ってくることが多い。

でも、本当にそうでしょうか?

 「サーバが壊れちゃったとしても、バックアップデータを別サーバに入れることで復旧できる。それはとても良いことです。だけど、『アナタ』は“バックアップデータを別サーバに入れること”が出来ますか?」

 ・・・と聞いて、「はい。できますよ。」と応えられる管理職がどれくらいいるでしょう?
大抵は、「いや、自分はできないけど、担当者がいるから・・・」となるんじゃないでしょうか。

 システムを担う担当者は、大企業でもなければ、ほんの数人がいいとこ。一人しかいないって会社も多いでしょう。では、その人が辞めちゃったら?病気になっちゃったら?いったい誰がバックアップデータを使って復旧させるんでしょう?「ウチはアウトソーシングだから大丈夫だよ」という方。

アウトソーシングしている会社の復旧手続きは理解していますか?
先方との交渉担当者は限られていませんか?その担当者がいなくても、手続きはスムースに進められますか?

 システム関連の業務は属人化されていることがとても多いんです。



■健康に気をつけるのも管理者の仕事

 システム系に限らず、個人に依存してる仕事って、会社の中では結構多いんじゃないでしょうか?
「自分じゃなきゃこの仕事はできないっ!」って思えると、モチベーションがアップしますから、一概に悪いことではないですけれど、リスクマネジメントの観点からすると、属人化は良くないことです。

 とは言うものの、属人化されている仕事を、いきなり他の人に振ったところで、失敗するのは目に見えてます。担当者だって、時間をかけてその仕事ができるようになったんですからね。それを簡単に、他の人ができるようになるわけはありません。

 まず、考えなきゃいけないことは、「『その人しかできない仕事』を持つ人」がずっと働いて貰える環境を作ることです。そしてその間に、「その仕事をできる人」を増やしましょう。辞めないようにするには、いろんな状況が絡むので難しいですが、病気にならないように気をつけることなら、そんなに大変なことじゃないですよね。

管理者は、オーバーワークにならないよう、体調不良の兆候が見えたら、管理者の方から無理にでも休養させましょう。

「自分じゃなきゃこの仕事はできないっ!」ってモチベーションは諸刃の剣で、オーバーワークの言い訳にもなっちゃうのです。



■新型インフルエンザって?
 最近は「新型インフルエンザ」の話題がマスコミに出てくるようになりました。でも、まだまだ認識は薄いようです。これ、「インフルエンザ」って言い方がビミョーなんだと思うんですよね。いわゆる「高病原性鳥インフルエンザ」って、今流行ってるインフルエンザとは全く別物ですから。現時点での感染者の死亡率が6割*を超えてるんですよ。
*2008年9月WHO調べ

 これが、一般のインフルエンザのようにヒトからヒトへ飛沫感染するようになったら、全世界で5億人以上の人が亡くなるという試算もあります。

 これが流行しちゃったら、まず流通はマヒ。電車なんて確実にストップします。あんなに風邪を蔓延させる場所、ないですもんね。流行宣言だされちゃったら、会社への出勤すらできないかも知れません。

 こんな事態が「いつ起こってもおかしくない状態」にまでなっているそうです。話題になってきてはいますが、日本はまだまだ諸外国に比べれば認識は薄いようです。



■事業継続計画

こういう流行病や地震などの緊急事態に対応するため、ISO27001では「事業継続計画」の策定を求めています。何か、情報セキュリティが危ぶまれる事態を想定し、予めその対策を検討しておくのです。担当者が病気になっちゃった場合の対応を考えるのも、立派な情報セキュリティ対策なのです。

VIXIAでは、こうした事態も想定し、社員全員分のウィルスガード用のマスクとゴーグルを準備しています。会社から出なくても何とかなるように、数日分の食料や水も用意しています。また、会社に出勤できなくなったときのために、遠隔地からシステムを動かすことができるような仕組みも整えています。

たかが風邪と侮るなかれ。誰かがひいた風邪が、属人化されたシステムを破壊して情報セキュリティ対策に風穴を開けてしまうこともあるのです。




« 前の記事 | 次の記事 »


投稿者: VIXIA広報 日時: 2009年01月30日 18:00 | | Hatenaブックマークに追加



トラックバック

このエントリーのトラックバックURL:
http://www.vixia.co.jp/mt/mt-tb.cgi/133