ネットワークセキュリティ コンサルティングサービス

IT技術の進歩、ネットワークの普及により、ビジネスの効率性と利便性は飛躍的に向上しました。しかし、外部からの不正アクセスや内部利用者により、機密情報・個人情報の流出問題が発生し、重大な損失を与える危険性も高まっております。法律面での対応も重要となっています。

万が一にも機密情報・個人情報が外部に出てしまうと、
　・社内の機密情報の流出による利益損失
　　　→ ビジネスチャンスの喪失、競争力の低下
　・機密情報、個人情報の流出による損害
　　　→ 社会的信用の失墜、被害者に対する損害賠償
　・情報漏洩発覚によるサービス・システムの停止
　　　→ サービスの停止、一般業務への支障
等の問題が発生します。

個人情報保護法と不正競争防止法への対策

2005年4月に個人情報保護法が全面施行されました。これにより企業が守らなければいけない義務と責任が定められ、それに違反した場合には行政処分が下され、さらに主務大臣の命令に違反した場合には罰則が科せられます。 そして、企業が科せられた義務と責任の管理体制の構築は、経営者の責任となります。

不正競争防止法は営業秘密の刑事的保護の強化や、経済社会の情報化に対応した定義規定の見直しがなされ、2005年1月1日に改正施行されました。十分な秘密管理体制がとられていないと営業秘密として保護を認められないケースが考えられますので、早急な対策が必要です。

法的保護を受けるためには

企業の秘密情報が法的保護を受けるためには、次の3つの要件を満たす必要があります。

（1）秘密管理性　：秘密として管理されていること
当該情報にアクセスできる者を制限するとともに、同情報にアクセスした者にそれが秘密であることが認識できること。

（2）有用性　：事業活動に有用な技術上又は営業上の情報であること
例えば、保有することにより経済活動の中で優位な地位を占めることができるような情報であること。

（3）非公知性　：公然と知られていないこと
既存の書物・学会発表等から容易に引き出せない情報であること。

次のようなケースでは、法的保護が受けられません。

（1）アクセス制御が欠如しているケース
・他の一般情報との区別がない
・保管場所を特定していない
・保管場所を施錠していない
・ネットワークにパスワードを設定していない
・アクセスについて人的・時間的制限がない
・秘密保持契約を結んでいない
・社内において営業秘密の管理者が存在しない
・社内において営業秘密の管理教育がない　等

（2）客観的な認識の可能性が欠如しているケース
・「マル秘」「部外秘」等、機密事項である旨の表示がない　等

*出典元： 経済産業省「知的財産を核とした企業戦略のための"参考となるべき指針"について」

セキュリティ対策の選定

重要情報の保護と漏洩対策は緊急課題となっております。しかし、何をどこから手をつけたら良いのか戸惑う管理者様もいらっしゃることでしょう。
NECネクサソリューションズでは豊富な知識と事例を基に、セキュリティ対策の選定のお手伝いをさせていただきます。

費用対効果の高いセキュリティ対策を選定するには、次の5つの手順で行うことをお勧めします。

◆STEP1：　インフラの把握
実際にセキュリティ対策を行なう前に、現状のネットワーク構成やIT資産の把握を行う必要があります。

・ どのようなネットワーク構成か？（インターネット接続、社内ネットワーク構成、等）

・ サーバの状況（台数、使用目的、ロケーション、アクセス許可状況、等）

・ クライアントPCの状況（台数、稼動状況・障害状況、等）

・ ソフトウェアの状況
（ソフトウェアインストール状況、ライセンス管理、セキュリティパッチ・サービスパック適用状況、等）

◆STEP2：　情報資産の把握
IT資産の把握ができたら、次に情報資産の把握が必要です。
「どのような情報が、どこにあり、どのように扱われていますか？」

・ どのような情報があるか？
（企業が取り扱う個人情報（信用情報）、取引先など企業・団体の関連情報、内部情報、等）

・ 守るべき情報はどこにあるか？
（サーバーやクライアント内に文書データとして存在している、FD・MO・CD-R等のメディアや紙文書として保管されている、社内システム、データベース上で管理されている、等）

・ 情報にアクセスできる方法は？
（許可されている人のみがアクセスすることができる、データ暗号化により、内部の者しか閲覧ができない、物理的に施錠を行なうことで、関係者以外は触れられない、等）

◆STEP3：　情報資産の分類・評価
情報資産を把握した上で、次のステップとして情報資産の分類、評価をします。
　・その情報資産の価値はどの程度か
　・どれくらいの保護が実施されているか
　・本来はどれくらいの保護が必要とされているか

情報資産をどの程度保護すべきかは、情報の価値を検討して初めて判断が可能になります。 その上で、現状の情報資産に対する保護が手薄なのか、過剰なのか、あるいは適切なのかを正しく判断することが必要となります。
情報資産を保護する場合、初期投資と継続的な投資がともに必要です。

◆STEP4：　リスクの見極め、対策の立案と構築
個人情報保護法の全面施行を目前にした現在、様々なセキュリティ対策要件があります。何を基準にどんな対策をすればよいか判断に迷った時には、経済産業省の個人情報保護法ガイドライン「技術的安全管理措置」がヒントになります。

◆STEP5：　情報セキュリティマネジメント
セキュリティ製品の導入によるセキュリティ対策が完了したら、マネジメントサイクルを確立することが重要です。どんなに完璧なセキュリティポリシー文書を購入しても、どんなに高価なセキュリティ製品を導入しても、これらのマネジメントを怠れば何にもなりません。
　・Firewallのログを監視せず、導入当時の設定のままである
　・セキュリティパッチを一人でも適用しない人物がいる
　・セキュリティポリシーが徹底されずID、パスワードの管理がずさんである
　・セキュリティ問題が発生したときの対策が実行されず後手に回る
このようなことは避けなければなりません。