ログイン
検索
  • TOP  > 
  • 記事一覧  > 
  • 公益社団法人国際観光施設協会編  観光施設メディアラボ  ホテルの安全・安心29 ホテルの情報セキュリティ対策 (株)タップ 経営企画本部 業務管理部 林 武司
29 公益社団法人国際観光施設協会編  観光施設メディアラボ 

ホテルの安全・安心29 ホテルの情報セキュリティ対策 (株)タップ 経営企画本部 業務管理部 林 武司

【月刊HOTERES 2019年05月号】
2019年05月31日(金)
  • このエントリーをはてなブックマークに追加

 
経営者に求められる
情報セキュリティへのリーダーシップ

 
 企業の経営者には、その大小を問わず、利用者(顧客)と従業員の安心・安全を担保するために、また、自らの法的責任の履行の必要性から、情報セキュリティに万全を期すべくリーダーシップを発揮することが求められています。
 
 情報セキュリティは、「情報の機密性、完全性及び可用性を維持すること」と定義されており(JIS Q 27000:2014)、これら3 要素ごとに「システム又は組織に危害を与える事故の潜在的原因」(脅威)、「脅威によって影響を受ける内在する弱さ」(脆弱性)、「ある脅威が脆弱性を利用して損害を与える可能性」(リスク)を適切に把握し、対策する必要があります。
 
 これらは、システムの利用状況や新たな脅威の発生など環境の変化によって変動する状況にあわせて、対策には見直しと改善が求められます。Plan(計画)、Do(実施)、Check(点検・監査)、Act(見直し・改善)というPDCA サイクルを繰り返す必要があります。
 
 例えば、最近の事例で「標的型攻撃」と呼ばれるサイバー攻撃によって、日本年金機構の年金情報管理システムサーバから個人情報が流出した問題がありました。「標的型攻撃」は、電子メールの添付ファイルなどで外部に情報を漏洩させる不正なプログラム(マルウェア)を送り込む手法の新たな脅威で、従来のウィルス対策ソフト(パターン検知方式)では検知できないため、「振る舞い検知方式」と呼ばれる新たな対策ソフトの導入などの対策が必要になっています。
 
 
IPA ガイドラインとISO 認証
 
 情報セキュリティ対策を行なうにあたり必要な情報は行政機関や情報セキュリティ対策を支援する企業などから入手することができます。
その中でも、独立行政法人情報処理推進機構(IPA)が公表している「中小企業の情報セキュリティ対策ガイドライン」は、企業経営者と、その指示のもと重要な情報を管理する方に向けて、安全対策の重要性と対策実施の考え方や方策が分かり易く提示されており、まずは目を通しておくべきものと思われます。
 
 特に、同ガイドラインは以下の「情報セキュリティ5 か条」を必要最低限の対策を示しており、まずはこれらの対策を実施した上で、さらに次のステップに進むことを推奨しています。
 
⑴ OS やソフトウェアは常に最新の状態にする。
⑵ウィルス対策ソフトを導入する。
⑶パスワードを強化する。
⑷共有設定を見直す。
⑸脅威や攻撃の手口を知る。
 
 その後、同ガイドラインにそって「情報セキュリティ自社診断」、「情報セキュリティポリシーの策定と実施」の手順を経て、最終的には「ISO/IEC27001:情報セキュリティマネージメントシステム(ISMS)」の考え方に沿った対策の改善に至り、できることならば「ISMS 認証」を得ることができれば、情報セキュリティに万全を期すという要求を満たしていることを内外に示すことができる状態になります。
 
 
専門企業への業務委託
 
 以上のように情報セキュリティ対策の必要性やその具体的な方法に関する公知の情報が存在するにも関わらず、実際には多くの中小のホテル・旅館では情報漏洩やハッカー対策などが充分進んでいない側面があり課題です。
システム管理者を社内スタッフとして雇用することなく適切な対策を進めるためには、情報システム関連業務をアウトソーシングすることが有効な方法の一つです。
 
 ネットワークやPC 等の情報インフラ管理を一括して請け負うサービスやセキュリティ対策がなされたホテル情報システムのクラウドサービスが専門の企業により提供されており、新たな脅威への対応など実務上の必要な対策は委託することができます。

月刊HOTERES[ホテレス]最新号
2024年03月15日号
2024年03月15日号
本体6,600円(税込)
【特集】ホテルの未来〜マネジメント人材の育て方〜
【TOP RUNNER】
デュシット・インターナショナル 京都地区エリア総統括支配人…

■業界人必読ニュース

■アクセスランキング

  • 昨日
  • 1週間
  • 1ヶ月
CLOSE