個人~小さな企業のセキュリティーについて No1 自社が持ってる機密情報のヤバさレベルを知る

この前人と、しゃべってたらセキュリティーについて
どうしたらいいか解らない。
何が正しいか教えて欲しいという話が合ったので、
ちょっと勉強したわけです。

せっかく勉強して、自分なりの答えができたので、
まとめてみる。

ここで紹介しているのは、最低限のラインを引いただけで、
当然、もっと詳しい人だっているし、
もっとちゃんとするなら、全然足りない。
最低限のラインを示す事で、
そのセキュリティー投資が不要かどうかを判断できる
とおもうんですよね。

目次

  • 守らないといけない物によって求められるセキュリティーは変わる←今回
  • <次回以降で頑張って増やすのでちょっと待って下さい>

守らないといけない物によって求められるセキュリティーは変わる

まず、第1回目として、自社や自分が守らないといけない物を明確にしましょう。

これに関してはIPAという国の機関(出先?)がガイドラインを示してくれています。

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構情報処理推進機構(IPA)の「中小企業の情報セキュリティ対策ガイドライン」に関する情報です。www.ipa.go.jp

このページの「IPAの中小企業のセキュリティー対策ガイドライン」では、
以下のような線引きをしてくれているので、これをパクりましょう。

画像
IPA 中小企業のセキュリティー対策ガイドラインから抜粋
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf

上記の図、「該当する情報の例」を見てください。
ここで、どれに当たるでしょうか?
もっと簡単に分けてみます。

別け方としては、
「WEBで検索しても絶対に出てこない情報」と
「WEBで検索したら出てくる情報」

に分けられます。

ご想像の通り「WEBで検索しても絶対に出てこない情報」は
ヤバイ情報です。

WEBで検索しても絶対に出てこない情報

LEVEL:神
漏洩するとシャレにならんぐらいやばい情報

  • 「個人情報」
  • 「特定個人情報」

これらの情報が漏洩すると本当にまずいです。
マジでやばいです。損失もすごいし、取引先との関係もヤバいです。
HPにも情報を載せて、とんでも無い事になります。

とりあえず、このレベルまでの情報を持ってる人は、
こんな情報じゃなくてしっかりとした情報で動いてください。

LEVEL:竜
個人情報よりもましと言えばましだけど
取引先も含めていろんな人を巻き込んでしまう、ヤバい情報

  • 「取引先から秘密として提供された情報」
  • 「取引先の製品にかかわる非公開情報」

言わずと知れたヤバイ情報です。
「秘密保持契約」違反になる可能性大!
洒落にならん。

LEVEL:鬼
顧客からは、秘密情報として渡されてないけど、
れっきとした個人情報

  • 「取引先社員のメールアドレス・電話番号」

これも十分にヤバイです。

ここまでの情報を持ってる人は、
セキュリティー対策しましょう。
絶対にしましょう。

LEVEL:鬼
漏洩するとやばいけど、社外には影響が少ない情報

  • 「自社のノウハウ」
  • 「発明情報」
  • 「見積書」
  • 「仕入れ価格」
  • 「請求書」

大きな問題はなさそうでしょ?
確かにそんなに大きな問題ではない情報ではあります。

しかし、これらの情報が漏洩するという事は、
「漏洩したらヤバイ情報も漏洩した可能性が有る。」という事です。
そうなると、どこまで漏洩した?何を漏洩した?って調査をして、
ヤバイ情報が漏洩した可能性が0じゃない場合は
それ相応の対応が必要になります。

これはどの企業も持ってる自社の機密情報です。
「機密情報なんてないよ!」って思ってる人!
案外もってるんですよ。
気を付けましょうね。

WEBで検索したら出てくる情報

そもそも機密情報じゃないのでOK!

結論

「Level:神 漏洩するとシャレにならんぐらいやばい情報」を持ってる会社・人はこんな所を見てないでしっかりとした情報・コンサルタントと相談してください。

それ以下のLevelの情報しか扱わない会社・人はこの先も是非とも読んでください。

なげぇ~ので、次回以降頑張って書きます。