企業データに対するセキュリティ侵害が相次ぐ中、Information Technology Association of America (ITAA) が、将来的な情報の漏洩・損失を防ぐための実際的なセキュリティ対策10項目を発表しました。各項目は、ITAA がセキュリティの重大要素と位置付ける「プロセス」「人」「技術」の3つに分類されています。ITAA では、企業データを管理する立場にある者は、自社にとって最も重要な資産を保護するためのガイドラインを設けるうえで、この3つの要素に注目する必要があるとしています。企業データを保護するための10項目* は次のとおりです(3大要素別)。
プロセス
1.物理的及び電子的な企業システムに内包されるリスクと脆弱性を定期的に評価し、それらのシステムをセキュリティ・ポリシー、インシデント・レスポンス・ポリシー、ビジネス継続性ポリシーに合わせて調整する。
2.内部統制および内部監査のためのポリシーを文書化する。
3.セキュリティ要件を予算編成プロセスおよび調達プロセスに組み込む。
人
4. 個人情報保護責任者と CEO に直接的に報告を行う情報セキュリティ責任者を任命する。
5. 従業員がリモート・アクセスを行う際の手続きを確立し、教育を行って、その手続きを遵守させる(有線アクセスと無線アクセスごとにポリシーを文書化する)。
技術
7. 明確な ID 管理ポリシーを策定すると共に、強固な認証技術を導入してその手続きを遵守させる。
8. 侵入検知/侵入防止の技術を導入して、ネットワークに侵入しようとするハッカーを見つけ出し、侵入を防ぐ。
9. 不正アクセスからデータを保護するために、暗号化などの技術を導入する。
10. SSL VPN または IPSec 機能が搭載された VPN やアンチスパイウェアなど、強固なセキュリティを持つリモート・アクセス・セキュリティ技術を導入する。