誠ブログは2015年4月6日に「オルタナティブ・ブログ」になりました。
各ブロガーの新規エントリーは「オルタナティブ・ブログ」でご覧ください。
009.【ISMS】情報セキュリティの意識
IT雑貨屋、日々のつづり
009.【ISMS】情報セキュリティの意識
1967年生まれ、神奈川県横浜市在住。ひょんな事からIT業界に努めて四半世紀、嫁と子供2人、あとメス猫一匹を抱えて、日々奮闘しているエンジニア(??)です。趣味はバイクと読書。IT業界の事、仕事の事、趣味や日々の雑感などについて、これから書いていきたいと思います。
当ブログ「IT雑貨屋、日々のつづり」は、2015年4月6日から新しいURL「http://blogs.itmedia.co.jp/satou55_makoto/」 に移動しました。引き続きご愛読ください。
年末進行の仕事で、何かと胃が痛くなる日々を過ごしています。考えて見れば本年もあとわずかとなりました。何とか本年で蹴りが着けられるものについては、蹴りつけて、ゆっくりと年末年始を過ごせたらなぁ・・・そんな事を考えています。
佐藤@IT雑貨屋です。
私はITエンジニアを自称していますが、その一方で情報セキュリティコンサルタント(主にマネジメントシステムからのアプローチ)もしています。
最近は現業の為にそちらの業務は行っていませんが、いまから2年ほど前まではISO27001やPマークの認証取得のコンサルティングも手がけていました。
このコンサルタントを行っていた時には、新規顧客の開拓も合わせて行っていた関係もあり、結構多くの中小企業の経営者様ともお話する機会があったりもしましたが、そこで感じた事について、今回は少しお話をさせて頂ければと思います。
ところで「情報」という言葉の語源というのはご存知ですか?
英語では「Information」と言いますが、これは「心に於いて形を与える」という意味があっるそうです。さらに遡るとギリシャのプラトンによるidea(イデア)論にまで行き着くとか言います。
一方、日本では「情報」という単語が登場したのは1876年の出版された陸軍の書物の中で「敵情を報知する」という意味で登場したのが最初であったとか。
まあ戦国時代などでも戦国武将は敵の情報を何かと探りを入れたりして、活用はしていた様ですが、国内の一般社会の中に認知されだしてきたのは、やはり明治時代以降という事もあり、日本国内では欧米と比較しても情報に関しての意識は低めに感じます。
日本国内でも、大企業になるとやはり情報の重要性というのが、かなり浸透している事もあり、情報セキュリティにはそれなりに関心を払って対応をしていると思いますが、その一方で日本の産業の99%を占める中小企業においては、やはり関心のレベルが格段に下がる様に感じます。
特に(これは私見ですが)従業員が100人未満の企業については、かなり薄いですね。
この理由ですが、まず先の述べた様な情報に対する関心の薄さも然りながら、それ以上に大きな要因になっているのは「直接売り上げに貢献しない」という性質もあるようです。
情報セキュリティというのは、どちらかというと「保険」に性質が近いところがあります。投資をしたところで、それが会社を潤すわけではありません。ただ「もし」という事態に備えて様々な手段を講じておくという事ですから。
またもう一つはITリテラシー不足も影響しているかもしれませんね。
以前にある会社のIT関係の相談を受けていた時期がありましたが、その会社に定期訪問をしていたある時、社員の方が「PCで変なメッセージが出ているので診て欲しい」と相談がありました。そこでそのPCへ行って見ると、ウィルスを検知したメッセージが表示されているではありませんか。
直ぐにLANケーブルを引っこ抜いて、対ウィルスソフトのログを確認してみると、まあ既知のウィルスであり、直ぐに検疫を実行して対処しました。その会社では一応、全PCがLANで接続されているので、全てのPCでチェックをかけましたが、他のPCには感染した形跡が無かったので、とりあえず一安心。
その社員に聞いてみると、その人はそのPCで資料を作成している最中に、いきなりメッセージが出たとの事でしたので、どうやら定期スキャンで検知された様でした。
一連の事を社長に報告すると、そのPCが感染した原因を知りたいという事でしたので、メールの履歴やWEBの閲覧履歴などを確認しましたが、どうやら休みの日に出勤した人が海外の怪しいサイトを閲覧している事が判明、それが原因というモノでした。もちろん休日に出勤した人間は直ぐに特定できましたが。。。
その会社では1台のPCを複数の営業が同一アカウントで利用しているという状況でしたが、その休日出勤して怪しいサイトを見た人は、社内でどうなったか。。。それは知りません。
でもそこの社内ではディスクを共有化して、そこに顧客情報などを無造作にいれていましたので、かなり危険な状況であったのは事実です。その事は当然、社長に提言して改善策などを提示しましたが、改善されませんでした。
「今は忙しいので、そのうちに・・・・」
それで終わりです。
まあ会社の中でもPCのウィルス感染という事については、社長以外の取締役の間でも危機感がほとんど無い会社でしたので、致し方なしと言うところでしょうか。
これだけIT化が進み、どこの会社でも何らかのシステムを利用し、情報はPCで管理しているのですが、肝心の情報の扱いに対する意識と、情報セキュリティへの関心の低さもあり、世の中ではインシデントが無くなる日というのは来ないですね。
これから年末に向けて、何かとバタバタする日もありますが、情報セキュリティインシデントには気をつけて、有意義な年末年始を迎えたいですね。
(今回は何時もの下手なイラストはありません、、、時間がなくて・・・)
ここまで読んでいただき、ありがとうございました。
