2005年4月に全面施行された個人情報保護法、同年11月に改正された不正競争防止法、今年6月に成立した改正証券取引法（「金融商品取引法」、通称「日本版SOX法」）をめぐり、多くの企業で情報セキュリティに対する関心が高まっています。
　その一方で、政府機関や企業が保有する重要情報（機密情報や個人情報）の漏えいや流出事件が続発しています。これらは企業経営や事業運営に対して重大な結果をもたらす可能性もあり、情報セキュリティへの対応や対策は経営上の重要な課題となっています。
　そこで今回は、情報セキュリティの考え方と、企業の情報セキュリティ対策状況や関連製品・ソリューションの最新動向をご紹介します。

　企業経営や事業運営にとって今や情報システムは不可欠な存在となっています。社員間の情報共有をはじめ、経理・会計、給与・人事管理といった経営の根幹に関わる部分、開発・設計、調達、在庫管理、物流等といった事業活動の流れに沿った部分に、それぞれ適した情報システムを活用することで、各種業務の効率性を追求したり、新たな価値を生み出したりする目的に役立てています。

　　個人情報保護法の施行が話題となった2004年前後から個人情報保護関連のソリューションが注目を集め、様々な事業者から多種多様な製品やソリューションが提供され始めました。これらの製品やソリューションに共通するのは、情報システムを機能させる上での様々な脆弱性を補う機能を提供するという点です。つまり、情報資産とそれに対する脅威を前提とし、その脅威の発生の誘引となる脆弱性の要素をコントロールすることで、情報セキュリティの実現を目指すものです。
　具体的な例で見てみましょう。今最も関心が高いセキュリティ・ソリューションの一つが情報漏えい対策ソリューションです。「Winny」や「Share」といったファイル交換ソフトによる相次いだ情報漏えい・流出事件が記憶に新しい人も多いのではないでしょうか。これらの事件の大半は、ファイル交換ソフトをインストールしている私用PCを職場に持ち込む、あるいは逆に、職場から電子ファイルを持ち出して自宅のPCで作業している際に情報が漏えいしたことにより起こっています。なかには、電子ファイルを保存したフラッシュメモリ等の媒体ごと紛失してしまう例もあります。
　このように、私たちが業務を行う上で扱う情報は、様々な脅威にさらされています。情報セキュリティのソリューションとは、その脅威の引き金となる各種の脆弱性への対策を指します。便宜上、物理的対策と技術的対策に分けることがありますが、実際には、物理的対策と技術的対策を組み合わせることでより確実な情報セキュリティが実現可能です。例えば、不正な情報持ち出しの物理的対策として設置したセキュリティ・ルームに、入退室管理ソリューションを技術的対策として組み合わせるという場合がこれにあたります。

　それでは、企業の情報セキュリティ・ソリューションの導入状況はどうなっているでしょうか。
　今年5月に発表された調査結果によれば、9割以上の企業が「ウイルス対策」を導入、7割近い企業が「ファイアウォール／VPN」を導入している一方で、「スパムメール対策」は約半数の企業、情報漏えい対策ソリューションと関連する「アイデンティティ／アクセス管理」や「その他のセキュアコンテンツ管理」はそれぞれ5割弱、4割弱という結果で、これらが今後、導入が進む可能性を示しています。

　ただ、情報セキュリティにはここまでやれば十分というゴールがありません。ウイルス対策だけをとってみても、新たなウイルスに対応していくことや、事業所の増加などに伴い情報システムの利用形態が変わるような場合は個別に対応する必要が生じます。このように、情報セキュリティには、様々な脆弱性を補強する適切な対策を、企業全体の視点から、効果的かつ継続的に講じていく仕組みが不可欠です。さらには、万一被害が発生した場合に備え、いかに被害を最小化するか、そして迅速に復旧させるかという計画も必要になります。
冒頭で紹介したように、企業を取り巻く経営環境が法制度面で変わりつつある状況です。その変化に柔軟に対応する第一歩は、各企業においてどのような情報資産をどのような脅威から守らなければならないのか洗い出し、各種セキュリティ・ソリューションの導入にかける費用に見合う効果が得られるかを検討することにある、といえるでしょう。

執筆　（株）情報通信総合研究所　研究員　仁木孝典

＜関連リンク＞
情報漏えい対策ソリューション
入退室管理ソリューション
トータルセキュリティソリューション「SeCIO」
セキュリティ簡易診断