2018年07月06日に初出の投稿

Last modified: 2018-07-06

添付画像

『安全の指標 平成30年度』(中央労働災害防止協会)

日ごろから「情報セキュリティマネジメントシステム」としての研究や実績あるいは自社のポリシー(これは僕が策定するので僕自身の成果だ)としても不足が目立つのは、CIA triad の中で言う "integrity" に関わるポリシーや手順書やコントロールだ。資産の「完全性」と言う場合、そこでは他の機密性や可用性とも同じく既に資産を自社に保有しているという前提があるので、資産そのものの取り扱いの安全性に関する唯一の着眼点が完全性なのだから(機密性は資産へのアクセスの妥当性、そして可用性は資産へのアクセスの任意性のことだから)、もっと丁寧に規程や手順を検討してしかるべき筈だ。したがって、従来の業務工程で蓄積されたノウハウなり実例なり失敗例から学ぶことは山ほどあって、その一つがいわゆる「ポカヨケ」とか労働衛生とかリスクコミュニケーションとか故障木解析である。

とかく、「情報セキュリティ」と言えばセキュリティソフトだのファイアーウォールだのウイルスだのアノニマスだのと言われるが、殆どの企業にとって現実的な脆弱性や脅威は、Microsoft Update をテストもせずに社内のマシンへ適用して Windows が起動しなくなるとか、送信先アドレスを確認もせずにメールを送って取引先から顰蹙を買うとか、あるいは取引先が自社の個人データを杜撰に扱っていることに気づかないとか、そういう無知や怠慢や陋習から生じるインシデントなのである。たいていの会社が持っている情報というものは、銀行に見せられない本物の損益計算書だろうと、役員がパソコンに保存してるエロ動画だろうと、そんなものは簡単に漏洩などしない。日常の業務で頻繁に扱う資産のぞんざいな取り扱いにこそ大きなリスクがあるのだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook