事業のライフサイクルごとの節目でセキュリティ対策を行うことが理想です。事業開始、運用、廃止の3点には特にどのようなセキュリティ対策をするのか具体的にご紹介します

事業のライフサイクルとは?

事業を始める場合には、事前にマーケティングを実施し、フィージビリティスタディ(事業やプロジェクトの実現可能性を事前に調査・検討すること)などを行ないますが、このときも情報セキュリティの視点から事業を分析することを忘れてはなりません。事業活動の検討では、ややもすると「何年で黒字化するのか?」といった事業の採算分析に関心が集中してしまい、事業に伴うリスク分析が十分に行なわれないことがあります。しかし、事業を成功させるためには、採算性のほかに、要員の確保、工場や店舗などの建物、物流、必要な情報システムなども検討しなければなりません。

また、情報システムを利用しない事業はほとんどないので、特に情報システムの構築に際しては、情報セキュリティの視点からリスクを分析しなければいけません。もちろん、コンプライアンス違反が発生しないように検討する必要もあります。

さらに、事業が安定的な軌道に乗れば、事業内容も安定してビジネスプロセスも安定します。しかし、このような場合でも、事業を進めていく過程で様々な課題が発生します。例えば、組織・体制の変更、取り扱う商品や製造する製品の変更、物流ルートや運搬方法の見直し、従業員の採用・退職・異動、原材料価格の変動など、様々な課題に対応することが求められます。当然のことながら、情報システムの安定運用も求められ、システムの改修、機器のリプレイス、システムの再構築などといった課題も発生します。加えて、新たなサイバー攻撃の手口が生まれれば、それに応じた対応も必要になります。

またさらに、社内外の環境変化によって、事業自体を廃止しなければならない場合もあります。この場合には、当該事業活動で生じたノウハウなど、様々な情報を適切に廃棄しなければいけません。なお、事業の継承が行なわれる場合には、情報システムの移管、データの移管・統合といった情報セキュリティに関係する問題が発生しやすいので、その問題にも適切に対応しなければなりません。

事業開始時のセキュリティ

事業を開始するときの情報セキュリティについては、次のような点に留意する必要があります。

(1) 事業開始に関する情報保護

新たな分野の事業を開始するという情報は、公表するまで秘密にしておく必要があります。新しい事業計画に関する情報は、特定のサーバに保存して厳格なアクセス管理を行なわなければなりません。また、電子メールでの通信制限や暗号化対策などを講じる必要もあります。なお、公表後には、このような対策は不要となります。時間軸を考えた情報セキュリティ対策が重要です。

(2) 利用する情報システムのリスク評価

どのような情報システムが構築され、それに関してどのようなリスクがあるのかを分析します。例えば、パッケージソフト、クラウドサービス、SNS、BYOD(Bring Your Own Device)の利用などに伴うリスクを機密性、可用性、インテグリティの視点から分析します。

(3) セキュリティ対策

利用する情報システムのリスク評価の結果を受けて、それに対するセキユリティ対策を検討して実施します。セキュリティ対策自体は直接的な利益を生まないので、ややもすればセキュリティレベルを下げたセキュリティ対策が講じられるおそれがあるので、注意が必要です。

 

事業運用時のセキュリティ

事業が開始され、運用段階に入ると、情報セキュリティの視点からは、次のような点に注意する必要があります。

(1) セキュリティ対策の運用

事業開始時に構築されたセキュリティ対策を確実に運用しなければいけません。アクセス管理、バックアップ、ネットワーク監視、ウイルス監視などの対策を計画どおり運用し、運用の結果、明らかになった問題点を適時かつ適切に改善することが重です。つまり、新事業に関するPDCAサイクルを構築していく必要があります。

(2) 新たなリスクに関する情報

収集と対策事業の開始時に想定していたリスクに変化がないかどうか、情報収集します。変化がある場合には、それに応じたセキュリティ対策を講じます。

(3) システムの適切な運用

システムの運用管理、変更管理、障害管理などを適切に実施しながら、障害の発生状況を監視し、必要な改善措置を講じます。

 

事業廃止時のセキュリティ

事業の廃止あるいは移管に伴って、各種データを含む情報資産を適切に廃棄し、または移管するようにしなければなりません。情報セキュリティの視点からは、例えば、次のような点に注意するとよいでしょう。

(1) 不要となった情報資産の廃棄

事業の廃止や移管に伴って不要となった業務上のシステムやデータなどの情報資産を確実に廃棄します。廃棄に際しては、管理があまくなりがちなので、十分に注意しなければなりません。

(2) 情報資産の活用

活用できる情報資産がある場合には、事業承継先などに移管して活用を図ります。この際に、知的財産の権利を把握し、コンプライアンス違反が生じないように留意します。

責任者・担当者の明確化が重要

事業の責任者·担当者を明確にしておくことが重要です。また、事業の責任者は、情報管理という仕事の重要性や、その情報管理には一定の作業時間がかかることを認識しておくことも必要です。