カネ、ヒト、時間いらずのIT内部統制--第3章:誰がファイルを読み書きできるのか(準備編)

木村尚義

2007-05-14 13:08

考える以上に難しい情報の統制

 IT関連に割ける予算が少なく、専任の管理者も置けない中小零細企業にとって、社内のすべての情報に目を光らせ、もれなく見張るのは想像以上に難しい。さらに、客先に提示した情報など、一度社外に出してしまった情報は、社内からコントロールすることはできない。それゆえ、守る情報のレベルを決めて、レベルに従った管理基準を設けることが必要となる。

 情報の守秘レベルに関しては、経営陣が全社の取り組みとして、あらかじめ、何を秘密として、何が公開可能なのかを決めておくとよい。小規模な企業であれば、あまり細かくする必要はないが、少なくとも「公開」「社外秘」「部外秘」の3段階は必要だろう。これらの判断は、経営陣から情報管理担当の役員を選出して決めるべきである。何を秘密とするかの判断は、経営に深く携わっていないと判断できないからだ。

 特に、部署を横断したプロジェクトなどで、資料を作る時には要注意だ。全社を巻き込んで資料を完成させたあと、情報担当役員が、慌てて「この資料は部外秘だ」と認定しても意味がない。その時点で、すでに全員が内容を知っているのでは笑い話にもならない。理想的には、プロジェクトがスタートする段階で、情報担当役員がプロジェクトの秘密レベルを明らかにし、周知しておくべきだろう。

「共有」しないファイル、するファイル

 絶対に漏らしたくない情報、たとえば、給与や会計など社内外で秘密にする情報を扱う場合、その保管場所としておすすめなのは実は「ノートPC」である。ノートPCであれば、使っていない時には、カギの掛かるキャビネットにしまっておける。給与、会計の担当者だけがノートPCを使うためのパスワードを知っており、キャビネットのカギは別の管理者が保管するという形にしておけば、実は、結構高いセキュリティレベルを確保できるのである。

 もちろん、オープンなネットワークへの接続は極力避け、共有機能はオフにしておく、机上で利用する際もケーブルワイヤーなどで固定しておき、社外への持ち出しは厳禁とするといった運用ルールも併用するべきである。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]