会社のセキュリティ考えるなら、これやりなさい

セキュリティ機器の設置、セキュリティサービスの導入、セキュリティソフトの購入・・・
無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄
無駄無駄無駄無駄無駄無駄無駄無駄無駄無駄

【最初にやるべきはセキュリティポリシーなのだ】

最近は多くの会社が、セキュリティ専門会社に脅迫(w)されて、いろいろ買わされるらしいですね。笑。
全て無駄です。まあちょっと極論ですが。

会社が情報セキュリティを考えるうえで一番最初にやるべきなのは、実は、そういう”購入”ではありません。
セキュリティポリシーを設置することです。
セキュリティポリシーとは何かというと、
「何をどうやって、だれから守るのか?予測できる漏えい手段は?」という、単に情報セキュリティ運用ルールをまとめることなんです。
え?それだけ??
「それだけで、情報守れるの?意味ないでしょ?」
では、説明してゆきます。

【守っても盗まれます】

残念ですが、”存在”するものは全て盗めます。これは比喩ではなく事実です。
ハッカーが本気になれば、どんな情報でも”存在”するのであれば、盗めます。
つまり、守り切れないのです。その方法はいろいろあります。
盗めないものはこの世にありません。この世にないものだけが、盗難から防げます。

【セキュリティの機械やソフト、サービスを受けたらいいじゃない】

そんな方に1つ聞きます。
では、そのサービス等は御社のどんな情報をどこから守ってくれるのですか?
そして、それは漏えいの危険はないのですか?100%ですか?
社内からの漏えいはないと思いますか?
物理的にPCやデータ機器ごと盗めば?
そんなこと言ったら、キリがないのでは?と思いますか?その通り。キリがないのです。
だからこそ、セキュリティポリシーをしっかり作り、あらかじめ被害予測を出しておくべきなのです。

【セキュリティポリシーの役割】

を明確にするので
何を守るべきか・・・守備範囲が明確になる→無駄にお金をかけないで済む
誰から守るべきか・・・敵は外にも内にもいることに気付く→情報の価値を持つ相手を割り出せるので、容疑者を事前予測できる
予測できる漏えい手段・・・ネット経由では防御ほぼ完ぺきだが、ここは弱いかもということで、監視体制が明確
ということになります。
なので、
無駄にお金をかけず、しかるべき情報をしかるべき人からしかるべき方法で防御ができます。

【セキュリティポリシー例】

セキュリティポリシーさえしっかり作れば、防御するソフトや機器は不要なんです。本当です。
すごく簡単で極端な例を書きます。
(例1・一般ご家庭)
・私のパソコンは、インターネットを見るときだけ、ネットにつなぎ、その際にはFireFoxというインターネット閲覧ソフトで、エロサイトやアングラサイトは見ない、楽天市場とヤフーニュースしかみない。
メールは利用するが、添付ファイルは相手からの事前予告がなければ開かない。
→ウィルスチェックソフトすら不要もしくは、フリーのウィルスチェックソフトで十分。セキュリティソフト不要。

(例2・会社)
・何を守る? 取引先との値段一覧表を守る
・誰から守る? 担当営業と役員以外の社員、同業他社のA・B・C
・その情報は、外部とつながっていないネットワークのPCに設置。予測できる漏えい手段は、USBでデータコピーとプリントした紙。
→よって、担当営業と役員にはUSBでのデータコピーは控えるか、申請させる。プリントした紙は、シュレッダー処理。退社した職員には、退社後も有効な機密保持契約を行う。

どうでしょうか?お金かけなくてできます。
というか、セキュリティポリシーをしっかりやらないのであれば、
お金かけても無駄に終わるのです。

どうしても作り方わからない、不安な方はご相談にのります。1回、1000万円です(爆)。