ウイルスやスパイウエアの増加、不正アクセスなどにより、ネットワークはさまざまな危険にさらされています。また、個人情報漏洩などの事件や事故は、経済的だけでなく社会的にも大きなダメージを企業へ与えます。さらに、多くの業務でパソコンが使用される環境となったことで、企業が情報資産を持つことへのリスクは増大しています。

パソコンやサーバーの運用管理方法について定めるルールのことを、「セキュリティポリシー」と呼びます。かつては、セキュリティポリシーさえ策定し実施すれば、リスクは回避できると考えられていました。しかし現在では企業の業務全体にITが浸透しているため、パソコンやサーバーなどの機器だけではなく、機器で扱う情報資産の管理方法も定める必要が出てきました。さらにデジタルデータだけでなく、書類や社員の会話といったアナログな情報資産についても運用管理の対象とし、リスクから守ることが必要となっています。企業全体の情報資産への運用管理方法を定めたものを「情報セキュリティポリシー」と呼び、このポリシーを定め、運用することで、企業全体のセキュリティレベルを高められるのです。

情報セキュリティのあり方は世界各国で議論され、1995年にBSI (英国規格協会) で「BS7799」という国家規格が策定されました。2000年にはこの規格の一部を基準として、国際規格「ISO17799」が策定され、日本では「情報セキュリティマネジメントシステム (ISMS) 適合性評価制度」が定められています。

こうした規格への対応は、情報資産に対する企業のリスク回避だけでなく、企業の対外的な信頼性を示すバロメーターとしても注目されています。さらに今後は、内部統制のシステム基本方針策定を義務化した新会社法や、ITの統制により会計不祥事を防ぐ日本版SOX法の施行など、規格への遵守が法律で義務化される予定です。

ワンポイント

規格への準拠は信頼性のバロメーター

(2006年01月24日掲載)