最近飛び込み案件?の社内のデータ保護に関する
セキュリティ対策の話やバックアップ関係の話が多いです。
多いのですが、多くの方が勘違いされてるのが
この2つ話を同じものとして捉えられていることです。
そこで本日は、
「データ保護についての良くある勘違い」
としてまとめてみました。
<<本コンテンツの対象となる方>>
・データ保護について興味のある方
・セキュリティとバックアップの違いが気になる方
<<何も無いように、するのがセキュリティ>>
セキュリティというのは、
そもそも資産を脅威から守るために存在する概念です。
多くの場合、リスクが顕在化しないようにする事を目的として掲げています。
逆に言えば、顕在化してしまった脅威、
Web サイトを例にして言えば悪意のある第三者による改ざん、は、
そもそも第三者にアクセスされないようにするために行う対策となります。
<<何かあってから、どうにかするのがバックアップ>>
では、何かあったあとはどうすれば良いのか?
この問への解が、バックアップを利用したリストア(復元)です。
改ざんされたデータは、ほとんどの場合で復元できません。
ですので、正常に運用していた時の情報をきちんとバックアップしておき、
改ざんされた際には、正常時の情報を元に戻す(リストアする)のです。
<<だから、どちらも大事なんです>>
上記の例のように、
何か起こらないようにする対策も重要ですし、
何か起こっても元に戻せるようにすることも重要だ
と言う事はわかりますね。
どちらか一方だけ 100% を目指すよりも両方をきちんと行う事が、
個人にとっても企業にとっても大事なことなのです。
<<注意点もあります>>
ただし、注意点もあります。
例えば情報の流出。
このリスクが顕在化してしまった場合、
流れ出てしまった情報は戻ってきません。
どれだけバックアップをしていても、
悪用されてしまったら意味が無いのです。
この例の場合は、情報の流出に対するセキュリティ対策として
次の様な事を考えるべきでしょう。
・流出しないようにすること
・暗号化を行っておいて流出したデータが
容易に第三者が利用できないようにすること
<<まとめ>>
弊社が取得している ISMS (情報マネジメントシステム)という資格は、
この様な対策をきちんと企業として行っていることを証明するものです。
プライバシーマークの親玉の位置づけにある資格ですので、
・社内だけで具体的なセキュリティ対策の方針を作るのが難しい
・プライバシーマークのコンサルを頼むとやけに高い
などで困っているようでしたらお声がけください。
何かしら解決策をお答えできるのではないかと思います。
その他質問など、ウェルカムです。