人事、労務、経営の問題解決企業　関総研オフィスソリューション　大阪府大阪市

技術的対策は「ルール」や「人」では対応できない部分を補完するものです。技術的対策は様々な脅威に対して「認証」、「検知」、「制御」、「防御」を自動的に実施するものであり、こうした技術を適切に取り入れておく必要があります。ここでは職場外でパソコンを使用する環境を「パソコン」、「通信経路」、「社内システム」に区分し、それぞれの情報セキュリティ維持のために最低限実施すべきことを示します。

１．職場外で用いるパソコンにおける対策
職場外で用いるパソコンは、社内環境と異なり、情報セキュリティ対策に関して「管理しづらい」または「管理できない」状況に陥りやすく、様々な脅威が存在します。以下では、パソコンを職場外で使用する場合に必要となる対策について述べます。なお、下記作業は、情報セキュリティ管理者やシステム管理者等の指示のもとで統一的に実施することが重要です。また、パソコンの情報セキュリティ管理（ウイルス定義ファイル更新やＯＳパッチ適用など）は、ひとりひとりが対応するには困難な場合があるため、ソフトウェア等を自動的に管理する仕組みを導入し、対策をより強化することが効果的です。
●ウイルス・ワーム感染防止対策
職場外でパソコンを使用して業務を行う場合、そのパソコンでインターネットを利用することも多いと考えられます。このため、最も発生確率が高いウイルス・ワームの脅威に対する対策は適切に実施する必要があります。
【事例】
（１）ウイルス対策ソフトのインストール及び定義ファイルの更新
ウイルス感染を検査し、感染したウイルスを駆除するため、ウイルス対策ソフトをインストールする。また、最新のウイルスに対応した定義ファイルに常時更新する。
（２）最新のパッチを適用
OS及びソフトウェアの脆弱性を突いたウイルス感染を防止するため、最新のパッチを適用する。また、システム管理者のアナウンス等によってパッチの適用がコントロールされている組織については、それに従う。
（３）外部より入手したファイルに対するウイルスチェック
受信メールに添付されたファイルや、インターネットからダウンロードしたファイルなどを開く前に、ウイルス対策ソフトによる検査を実行する。
●パソコン等の紛失・盗難対策
職場外にパソコンを持ち出すと、悪意ある第三者が近づきやすい環境にさらされます。そのため、パソコン内の電子データを暗号化するなどして、他人によるパソコンの不正操作を防ぎ、電子データの取り出しやパソコン等の紛失・盗難による情報漏えいを防止することができます。
【事例】
（１）パソコンにはスクリーンセーバー（※１）をかけ、解除する際、パスワードを問われるように設定する。また、パスワードは定期的に更新する。
（２）ＯＳへのログインパスワードを設定し、定期的に更新する。
（３）パソコン内の「機密」と区分された電子データはファイル暗号化を行う。
（４）パソコンにはハードディスクの暗号化または BIOS（※２）パスワードを設定する。
（５）「機密」と区分された電子データを記録媒体に保存する場合は暗号化を行う。
※１　スクリーンセーバー
ディスプレイの焼き付きを防止するために、一定時間アクセスがなかったら、画面上に動画を展開するプログラム。
※２　BIOS
コンピュータに接続された周辺機器を制御するプログラム。
●不正侵入・踏み台対策
知らないうちに悪意のあるソフトウェアをダウンロードしたり、パソコンに悪意のあるソフトウェアを仕掛けられたりすることで、パソコンが外部から「乗っ取られた状態」となり、電子データを盗難・改ざんされる危険性があります。また、パソコンが「踏み台（※３）」となって、社内システムに接続されたり、第三者に対して危害を加えたりする危険性があることから、下記のようにパソコンを適正な状態にしておく必要があります。
※３　踏み台
利用者が気付かないうちに第三者に乗っ取られ、不正アクセスや迷惑メール配信の中継地点に利用されているコンピュータのこと。
【事例】
（１）ＯＳのファイアウォール機能を利用する。または、パーソナルファイアウォールソフト(※４)を導入する。
（２）業務用に支給されたソフトウェア以外はダウンロード及びインストールしない。
（３）不審なサイトへはアクセスしない。
※４　パーソナルファイアウォールソフト
不正アクセスなどからパソコンを保護するためのソフトウェア。

２．通信経路における対策
職場外でパソコンを使用する場合は、インターネットなどを利用した電子データの送受をすることもあると考えられます。電子データの送受に当たっては、電子データの盗聴、横取り、改ざん等の可能性があるため、暗号化された通信等、安全性の高い通信経路を確保する必要があります。
【事例】
（１）インターネットを利用する際には、ＶＰＮなどによりデータを暗号化し、安全な通信経路を確保する。
（２）無線ＬＡＮを利用する際には、暗号化機能を用いることで安全性を高める。(※５)
※５　無線LANの情報セキュリティの具体的対策については、「安心して無線LANを利用するために（総務省）」
（http://www.soumu.go.jp/joho_tsusin/lan/index.html）を御参照下さい。

３．社内システムにおける対策
社内システムには企業にとって守るべき電子データが多く存在します。職場外のパソコンから社内システムにアクセスできるようにするなど、外部とのやり取りを可能とすることは、社内システムへの不正侵入・不正アクセスの可能性を高めることにもつながります。また、社内システムからウイルスを蔓延させてしまう脅威などに対しても十分な対策を行う必要があります。
●ウイルス・ワーム感染防止対策
職場外のパソコンのみではなく、当然社内システムのサーバ及び社内ネットワークに接続されたパソコンについてもウイルス対策が必要です。実施すべき事項については、「パソコンにおける対策」中の＜ウイルス・ワーム感染防止対策＞部分を参照してください。
●ウイルス・ワーム蔓延防止対策
社内システムがウイルス・ワームに感染すると、多数の端末にも感染し、ひいては社会全体に大きな影響を与えてしまう可能性があります。蔓延防止策は技術的にも運用的にも困難が伴いますが、「早期発見・早期対応」と「検知・制御」を考慮した対策を行う必要があります。
【事例】
（１）ウイルス・ワームがネットワーク上に蔓延することを防御するための仕組みとしてネットワーク上に流れるウイルスを検知し、駆除するシステムを導入する（運用体制の整備を含む）。
（２）ウイルス・ワームに感染したパソコンは即座に隔離する（本人への通知・アクセスの制限などを含む）。
●不正侵入・不正アクセス対策
悪意ある第三者は、インターネットなどを経由してシステムの脆弱性を探し、社内システムへ不正に侵入したり、正規の利用者（アカウント保持者）になりすまし社内システムへ不正にアクセスするなど、情報資産を悪用する場合があります。社内システムへアクセスするポイントや社内の守るべき情報資産との境界線にはファイアウォールなどを設置することで不正侵入を防止する対策や、本人であることを厳密に確認する認証を行うことで情報資産へのアクセスを制御し、不正アクセスを防止する対策を行う必要があります。
【事例】
（１）ファイアウォールやルータの設置
社内システムとの境界線にはファイアウォールやルータを設置し、パケットフィルタリング（※６）を行う。
（２）社外から社内システム／ネットワークへのアクセス制御
社外から社内システム／ネットワークへのアクセスについては、ユーザごと（各個人別）にアクセス権の設定を行うともに、パスワードはワンタイムパスワード（※７）などを利用し認証機能を強化する。
（３）守るべき電子データ（機密情報・個人情報など）へのアクセス制御社内システム内にある守るべき電子データは、ファイアウォールなどで守られた安全な領域に保存するとともに、アクセス権はユーザごと（各個人や組織）に権限を設定し、認証機能を利用してアクセスを制御する。
※６　パケットフィルタリング
送られてきたデータを検査して通過させるかどうか判断する機能のこと。
※７　ワンタイムパスワード
一度限りしか使えないパスワードを生成することを可能にした認証方式のこと。
●情報漏えい対策
不正侵入・不正アクセスによる情報漏えいを即座に検知・制御することは困難ですが、社内システムへの利用状況についてアクセスログ（※８）を収集することで不正侵入・不正アクセスによる情報漏えいの調査追跡が可能となります。
※８　アクセスログ
サーバやルータの動作を記録したもの。アクセス元及びアクセス先の情報を記録し、利用者動向の分析や事故発生時の原因特定などに用いる
【事例】
社内システムに接続した履歴の保存及び管理を行い、定期的に不正侵入・不正アクセスによる情報漏えいの調査を行う。

情報セキュリティ対策の「ルール」・「人」・「技術」のうち、実施が最も難しいのは「人」の部分です。今日発生している情報漏えい事件の根源的な原因の多くは、関係者による内部犯行であると言われていることからも分かるように、適切なルールがあっても「人」すなわち従業員やシステム管理者などが、定められた事項を遵守しなければ意味がありません。ルールを定着させるためには、以下のような対策により各個人レベルで情報セキュリティ意識の向上を図ることが重要です。

１．情報セキュリティ教育・啓発活動
従業員の情報セキュリティに関する認識を確実なものにするために、教育・啓発活動は欠かすことができません。情報セキュリティ教育・啓発活動は一過性のものではなく、日々の活動及び定期的な実施が重要です。

【事例】
（１）社内外の研修や勉強会などを活用し、情報セキュリティ教育を定期的に実施する。
（２）情報セキュリティに関する冊子を作成し配布する。
また、例えば、従業員全員を対象に、以下のような分かりやすい「標語」を作成し、常に意識させることが効果的です。（例えば、情報セキュリティ標語が記載されたカードを作成し、常に携帯させるという方法もあります。）

【情報セキュリティ標語】
一 ウイルス定義ファイルの更新を業務開始前に必ずチェックすること。
二 業務終了後はパソコン、記録媒体、機密文書は必ず施錠した場所に保管すること。
三 業務用に貸し出されたパソコンを私用目的に利用しないこと。また第三者に触れさせないこと。
四 私物パソコンであっても業務に使用するものには、不要なソフトウェアをインストールしないこと。
五 電子データの送信については送信時に宛先を確認すること。
六 機密性の高い電子データについては暗号化して保存すること。
七 機密性の高い電子データを送信する際には必ず暗号化すること。
八 業務用に貸与されたパソコンに業務に不要なソフトはダウンロード及びインストールしないこと。
九 パスワードは、他人に推測されにくく、機械的な処理でも割り出しにくいものとすること。また、パスワードは定期的に変更すること。
十 情報セキュリティ事故（パソコン故障／盗難／紛失、データ破壊、ウイルス感染、不正アクセスなど）発生時や対応策がわからない場合は、直ちに担当の○○○に相談すること。

２．規則・契約による管理
自社の従業員であっても、些細なミスや内部不正行為が大きな企業損失に拡大することもあります。そのため、機密情報の外部流出を防ぐための機密保持規定（データの持ち出しに当たっては暗号化などの機密保持対策などがきちんとされていることについてチェックし、許可を得ることなど）を設けるとともに、抑止効果としてルールに違反した場合の罰則規定を設けることも有効です。

【事例】
（１）就業規則（個人レベルの誓約書等を含む）及び外部委託契約には、機密保持条項を規定する。
（２）就業規則及び外部委託契約には、ルール違反による事故が発生した場合の罰則規定を記載する。（抑止効果）

３．情報セキュリティ事故発生後の対応
情報セキュリティ事故が発生した場合は、迅速な対応策をとれるように連絡体制を整えたり、訓練（予行演習）をしたりしておくことも重要です。早期発見／早期対応することにより、情報セキュリティ事故の影響を最小限に抑えることが可能です。また、情報セキュリティ事故の原因を分析し、再発防止に努めることも重要となります。

【事例】
（１）事故発生時の連絡体制を定める。
（２）情報セキュリティ事故への対処マニュアルを作成する。
●情報セキュリティ事故（パソコン紛失、盗難、ウイルス・ワーム感染）が発生した場合は、直ちに担当の○○○へ連絡する。
●パソコンがウイルス・ワームに感染していると判明した場合、直ちに社内ネットワークへの接続を遮断する。
（３）情報セキュリティ事故発生後は、要因を特定し、適正な対策を行うことにより、再発を防止する。

情報セキュリティポリシーを定着させるためには、情報資産の利用方法や情報セキュリティ対策適用のための手続き、情報資産の管理方法や取扱方法について決定し、遵守していく必要があります。
情報セキュリティレベルの向上に責任を持つ人は、これらのルールを作成し、各情報セキュリティ対策が適切に実施されるように管理していきます。このルールが適切に実施されないと、「人」に対する情報セキュリティ対策、「技術」に対する情報セキュリティ対策が無意味となるおそれがあります。

１．組織として守るべきルール
情報セキュリティに関する管理体制及び責任の所在を明確にすることは重要なことです。
また、職場外でパソコンを使用する環境においても情報セキュリティのルールが正しく守られているか、現場の状況に合っているかなどについて、定期的なチェック（監査）を実施することで、ルールの見直し及び定着を図ります。監査は不正な行為の抑止効果としても有効です。

【事例】
（１）情報セキュリティ管理体制
●情報資産の管理方法・管理責任者を規定する。
●管理責任者に権限を与える。
●事件・事故が発生した場合の連絡先・対応先・責任者を規定する。
（２）定期的な監査の実施
●職場外でのパソコン使用環境において情報セキュリティ対策事項が遵守されているか、定期的にヒアリングなどによる監査を実施する。

２．システム管理者が守るべきルール
悪意を持つ第三者が本人に成り代わって、社内システムへの認証アクセス権の申込みや、通信経路の申込み・移転などを行った場合、社内システムへの不正なアクセスは容易に可能となります。そのため、端末を企業側から貸し出す場合においては利用状況などについて適正な管理を行い、また、社内システムへ外部からアクセスする際の通信経路の申込み・移転・廃止についても、明確なルールを定め、情報セキュリティ事故発生への早期対応に備える必要があります。

【事例】
（１）アカウントとパスワード管理のルール
●社内システムのアクセス用アカウントの発行については、その利用目的が明確になっているかを確認し、利用期限を設け、アカウントを発行する。
●アカウントの発行・廃止・変更は、管理者の承認を得る。
●不用なアカウントの削除は徹底する。
（２）端末の管理
●パソコンの貸出し・返却及びパソコン利用状況について、「氏名」、「担当業務」、「パソコン機種」、「連絡先」、「返却期限」、「情報セキュリティ対策状況（ＯＳ、パッチ、ウイルス定義ファイル等）」などを管理する。複数の従業員でパソコンを使い回す場合、返却時にデータが削除されていることを確認する。
●パソコンを貸し出すときは、最新の情報セキュリティ対策がなされたパソコンを貸し出す。また、返却されたパソコンは、ウイルスチェックを行うとともに、不要なソフトウェア（ファイル交換ソフトなど）がインストールされていないかなど情報セキュリティ状態について調査を行い、適切な対処を行う。
●私物のパソコンを利用させるときは、貸し出し用のパソコンと同様のセキュリティ対策がなされているか確認する。
（３）通信経路の申込み・移転・廃止
通信経路（インターネット接続、専用線、ＶＰＮ（※１）等）の申込み・移転・廃止を行う場合は管理責任者の承認を得て行う。また、決められた通信経路以外を使うことを禁止する。
※１　ＶＰＮ
インターネット等の公衆回線網上で、認証技術や暗号化等の技術を利用し、保護された仮想的な専用線環境を構築する仕組み。

３．パソコン使用者が守るべきルール
職場外でパソコンを使用する際には、不特定多数の人目に触れる場所などでは周囲の環境に十分配慮する必要があります。職場外で使用するパソコンは、社内環境と異なり、様々な場所での利用が想定され、その分、悪意のある第三者が侵入しやすい環境でもあります。以下では、職場外で従業員がパソコンを使用する際、守るべきルールについて記述します。
なお、ルールが守られるためには、個々人の現在の業務スキル、情報セキュリティに関する知識や意識などに配慮し、適切な教育を行っていくことが重要です。詳しくは「３．人についての対策」を参照してください。

【事例】
（１）パソコンの利用環境
●持出し許可されたパソコンの使用は、定められた利用条件に従う。（不特定多数の人の目に触れる場所での使用については、のぞき見されないように配慮するなど）
●移動など許可された場所以外にパソコンや記録媒体（ＣＤ－Ｒ／ＲＷ（※２）やＵＳＢメモリ（※３）などの持ち運び可能な電子媒体）を持ち出す場合には、紛失、盗難、置き忘れなどに注意する。
●自分以外の者にパソコンを使用されないようにする。
（２）パソコンで利用するデータの取扱い(図３)
●電子データを「機密」「一般」など２つ以上に分類し、「一般」以外の電子データは暗号化する。
●業務上必要のない情報へのアクセスを禁止する。
●「機密」に分類された電子データについては、電子データ復旧を目的とした電子データのバックアップなど、許可された場合を除き印刷や電子データコピーを制限する。
●一時的に職場外で参照する場合など、原本である必要性がないものは、複製を持ち出す。
●情報漏えいの危険を最低限に抑えるため、外部に持ち出すデータは必要最小限とし、不要なデータはこまめに削除する。（※４）
●作業を終えたデータは適宜安全な領域（社内のファイル・サーバなど）へ保管するなどし、パソコン上のデータは必要最低限のデータのみとする。
（３）公私区分
●業務用に貸し出されたパソコンを許可された目的以外で用いることを禁止する（業務に関係のないファイルをダウンロードしたり、業務に必要のないソフトウェア（ファイル交換ソフトなど）の導入･使用を禁止するなど）。
●業務用に貸与されたソフトウェアを許可なく私用パソコンにインストールすることを禁止する。
●私用パソコンを業務に利用する場合には、インストールされているソフトを確認するなど、定められた利用条件に従う（例えば漏えいすると困るような情報は扱わない。どうしても扱う必要がある場合は業務用に貸与されたものと同等のセキュリティ対策を行うなど）。
※２　ＣＤ－Ｒ／ＲＷ
書き込み可能なＣＤ-ＲＯＭ。うち、ＣＤ－ＲＷは消去も可能なもの。
※３　ＵＳＢメモリ
ＵＳＢコネクタに接続して利用する、持ち運び可能な記録媒体。
※４　ただし、テレワークなど職場外でのパソコン使用が長期又は恒常的で、職場外のパソコンで新たなデータを加えたり創成したりする場合は、そうしたデータの改ざんや破壊に対応するため外部記録装置（ＣＤ－Ｒ／ＲＷ、ＵＳＢ、外部ハードディスクなど）への保存などのバックアップを実施することが適切となります。

職場外のパソコンで仕事を行う場合、誰でも利用することができる反面、誰でも不正な行為を実行することもできてしまうインターネットを活用したり、持ち運び可能なノートパソコンを用いて多地点で業務を実施したりします。このため、ウイルス・ワームの感染、パソコンや記録媒体の紛失・盗難、ファイル交換ソフトを介して感染するアンチニー（※１）などによる電子データ漏えいなど、様々な「脅威」や脅威の発生を誘引する情報資産の「脆弱性（弱点）」が存在します。
※１　アンチニー
ファイル交換ソフトのウィニー（Ｗｉｎｎｙ）でやり取りされるファイルを介して感染するコンピュータウィルス。パソコン内の情報をインターネット上に流出するなどの被害をもたらす。

職場外でパソコンを使用する場合には、様々な脅威や脆弱性が存在します。企業における社内システムや機密情報などの重要な情報資産を守るための情報セキュリティ対策ポイントは、「ルール」・「人」・「技術」の三位一体のバランスがとれた対策が実施されていることです。

１．ルール
基本方針に従った対策基準や実施内容において、「人」に対する情報セキュリティ対策、「技術」に対する情報セキュリティ対策を適用及び運用していくうえでの決まり事です。ルールに従い対策を適用することにより、実施内容の形骸化や不履行を防ぎ情報セキュリティレベルを維持することが重要です。

２．人
情報セキュリティのために決めたルールを守るのは面倒と思われがちです。しかし、人的ミスは重大な情報セキュリティ事故につながります。各個人レベルでの情報セキュリティに関する知識や認識を高く保つことが重要です。
組織で行われている情報セキュリティ対策は、技術への投資に偏重しており、「人」に対する投資は十分に行われていない場合も見受けられます。しかしながら、情報セキュリティ事故を未然に防ぐためには、積極的に「人」への投資（情報セキュリティ管理者教育、従業員教育・啓発活動）を行うことが重要です。

３．技術
情報通信技術の進歩により、様々な情報セキュリティ対策技術が開発され、数多くの製品・サービスがあります。守るべき情報資産に合わせ、適切な技術対策を選択することが重要です。

情報セキュリティ対策として重要と思われる事例を大まかに示せば以下のとおりとなります。なお、情報セキュリティ対策は、設定するリスクの種類や程度に応じて様々ですから、実際に作成する対策は、個々のリスクを検討の上、こうした事例を取捨選択･加除修正していく必要があります。

職場外のパソコンで仕事をする際のセキュリティ対策１８か条
【ルール】
１．情報セキュリティ管理体制（管理者の選任、情報資産の管理方法の策定など）を構築する。
２．職場外でパソコンが使用される場合でも、情報セキュリティポリシーが正しく守られているか、定期的なチェック（監査）を実施する。
３．社内システムへアクセスするためのアカウント（※２）については、管理方法を明確に定め、厳格に管理する。
４．従業員にパソコンを貸し出す際には、「氏名」、「担当業務」、「パソコン機種」、「連絡先」、「返却期限」、「情報セキュリティ対策状況」などを把握しておく。
５．業務用に貸し出されたパソコンは許可された目的内で利用条件に従って適切に用いる。
６．一時的に職場外に持ち出すデータは原本ではなく、原本からの複製とする。
７．私物のパソコンを業務に利用する場合には、インストールされているソフトを確認するなど定められた利用条件に従う。
８．ネットワークを用いて業務を実施する際には、指定された通信手段を用いる。リティレベルを維持することが重要です。
【人】
９．トップダウンにより情報セキュリティポリシーを周知・徹底する。
１０．従業員の情報セキュリティに関する認識を確実なものにするために、日々、教育・啓発活動を実施する。
１１．就業規則や外部委託契約にデータの持ち出しに当たっての許可など機密保持規定や罰則規定を設ける。
１２．セキュリティ事故発生時は、直ちに定められた担当者に連絡する。
【技術】
１３．ウイルス対策ソフトをインストールし、最新の定義ファイルに定期的に更新する。
１４．ＯＳ（※３）及びソフトウェアにおいては、パッチ（※４）の更新を定期的に行う。
１５．ＯＳのログイン時などのパスワードは、他人に推測されにくいものとし、定期的に更新を行う。
１６．機密性の高いデータを保存・送信する際には必ず暗号化する。
１７．社内システムと持ち出し用パソコンの環境の境界線にはファイアウォール（※５）やルータ（※６）などを設置し、不必要なアクセスを遮断する。
１８．社内システム内にある重要データは、安全な領域（※７）に格納するとともにアクセス権限の付与は必要最低限とする。

※２　アカウント
ネットワーク及び社内システムにログインする際の権利（ユーザIDなど）。
※３　ＯＳ
メモリやハードディスクの管理やキーボードなどの入出力機能など、パソコンに基本的な動作をさせるために必要なソフト。
※４　パッチ
不具合の修正等への対応を行うため、アプリケーションの一部分を書き換えるプログラム。
※５　ファイアウォール
不正アクセスなどからサーバやＰＣを保護するための機器のこと。
※６　ルータ
通信経路の管理を実施しているネットワークを構成する機器のこと。
※７　安全な領域
守るべき重要な情報資産が、危害や損傷などを受けずに正常な状態でいられる領域のこと。情報セキュリティの三大要素である機密性、完全性、可用性が適切に確保されている必要があり、耐震設備や入退出管理設備などの「物理的」なものだけでなく、アクセス制御や認証など「論理的」な情報セキュリティ対策も含めた検討が必要。

●ISO27001認証取得時の５つのメリット

１．社内情報管理の体制づくり
ISO27001認証取得を目的として、社内規程の整備ならびに入退室をはじめとした社内のセキュリティ強化を行なうことにより、内部からの情報漏洩等の事故を未然に防ぐことができます。
昨今の情報漏洩事件からもお分かりの通り"情報管理の未熟さ"は今後の経営を左右すると言っても過言ではありません。
ISO27001を取得することにより、お客様の情報、会社所有の機密情報、従業員情報などの情報を適切に管理して、機密をしっかりと守るための仕組みを社内に作り上げることができます。
管理者が会社全体の視野に立った上で各々の役割を担うことにより、今まで以上に組織的な管理体制が作り上げられるため、経営力（組織力）が向上します。
その他、方針・計画・見直し・教育なども必要になりますので、経営に必要な活動の基盤の強化を図ることができます。

２．対外的な信用の向上
セキュリティ対策に厳正に取り組む企業スタンスを消費者・取引先に対してアピールすることにより、競合他社との差別化を図ることができ、受注にあたっては重要な選考基準となります。
ISO27001取得企業＝情報を守ることができる企業という証明であり、取引先条件において有利になる場合もあります。また、今後は行政機関の入札条 件においてもISO27001取得企業は優遇される可能性があり、企業経営を営む上でISO27001取得が必須になることが予想されます。

３．企業イメージの向上
取引先企業や消費者のセキュリティ意識の高まりにこたえ、情報セキュリティに対する取組み姿勢、管理能力に対して社会的な信用が得られ企業イメージが向上します。顧客に安心感を提供することで信頼関係を確実なものにします。

４．"情報"を経営に活かせるようになる
"情報"は保持・保護するだけでなく有効利用をすることで、お客様のニーズを把握した上での新規提案・サポートを提供できるなど、顧客満足を高めるため に活用をすることができます。ISO27001取得活動によって、経営者・管理者が今まで以上に情報への意識が高まりますので、情報を経営に活かせるよう な組織作りにつながります。

５．社内セキュリティ意識の高揚
社内の情報管理に対する意識高揚・教育の充実を図ることができます。
経営者・管理者だけでなく社員ひとりひとりの"情報保護"に対する意識が高まり、情報保護やコンプライアンス（法令遵守）に対する責任感が強まります。 社員一人一人が、各々の扱う情報を全社的な視点で責任を意識することになり社員モラルが向上します。

情報セキュリティに関わる事故やトラブルには主に以下の種類があります。

●他人になりすまされた　(IDパスワードの漏洩）
●不正アクセス　(ID・パスワードの漏洩）
●個人情報が狙われる　(公共のパソコン）
●違法行為の踏み台にされた　(無線LAN）
●パソコンの動きが遅くなった　(ウイルス感染）
●パソコンを買ってすぐに感染した　(セキュリティホール）
●知らないうちに加害者に　(ウイルス感染）
●商品が届かない　(オークション詐欺）
●身に覚えのない請求が　(ネット詐欺）
●個人情報を騙し取られる　(フィッシング詐欺）
●重要なメールを見逃す　(迷惑なスパムメール）
●デマ情報の流布　(チェーンメール）
●他人を傷つける　(掲示板トラブル）
●責任ある発言を　(ブログのトラックバック）
●悪意のあるサイト　(風俗・出会い系）
●不正アクセス　(スパイウエア・トロイの木馬）

最近、情報セキュリティに対する関心が高くなり、注目が集まっているのは、情報に価値があるということ、つまり情報はビジネス上重要な事業資産と同様であるとの認識をもたれるようになってきたからです。
情報の保護は、単に情報そのものだけではなく、利用するための手段、システムや人なども保護対象となります。従って、情報を守るだけではなくて適切な利用環境と、それを維持することも含まれています。
昨今、ファイル交換ソフト「Winny」を介した情報漏洩事件が多発しております。中でも、自衛隊の機密情報、警察の捜査情報の漏洩は、政府の情報セキュリティ対策に一石を投じた事件です。
最近は、「情報セキュリティ事件・事故 ＝ 個人情報漏洩」と思われがちでしたが、Winny騒動は情報セキュリティ対策を考え直すひとつのきっかけになりました。
実際に、経済産業省は情報セキュリティガバナンスで「情報セキュリティに対する努力を企業価値として評価する」と発表し、内閣府は第一次情報セキュリ ティ基本計画で2009年4月までには全ての企業が情報セキュリティマネジメントシステムの国際規格であるISO27001の取得を推薦するセキュリティ 対策実施を明言しています。
これを受けて今後は、官公庁はもとより一般企業においても「ISO27001認証取得」が入札や取引条件として要件化される動きが加速してくると思われます。

情報セキュリティ（information security）
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。
ISO/IEC27001：2005 3 用語及び定義より

この定義文書の前半三つの用語である「機密性」「完全性」「可用性」は、情報セキュリティの3大要素と呼ばれることがあります。
●機密性：Confidentiality... 機密性とは、その名のとおり情報の機密を守ることを言います。
機密の定義は情報の内容によって変わるでしょう。どこにも漏れてはならない情報もあれば、社内では公表してもかまわない情報もあるはずです。
●完全性：Integrity... 完全性は、情報が完全な状態であることです。
つまり、情報が改ざんなどされずに正しい形で守られることをさします。よくある例ではＨＰの改ざん、書類の数字の改ざんなどといったことがあげられます。
●可用性：Availability... 可用性は情報が必要なときにいつでも使用できることをさします。
業務用のシステムや、データベースなど、必要なときに情報が引き出すことができなければ、それも大きな損失となる可能性があるでしょう。

例えば、「機密性を確保するために通信を暗号化する」、「完全性を確保するためにディジタル署名を義務付ける」、「可用性を確保するために機器を冗長構 成（2重化）にする」など、各性質を確保するために技術や規約を整備・維持していくことが、組織の情報セキュリティを確保・維持していく作業につながりま す。

よく、「情報セキュリティ対策はしている」とおっしゃる方にお話を聞いてみると、外部からの侵入に対してファイアウォールを設置したり、ウイルス対策ソフトを入れたりしているといったことを聞きます。
しかし、情報セキュリティ対策とは何か？というものを考えるときに、上記の対応方法では、外部からの侵入は防ぐことはできても、内部問題の事故や、その他の事故に対応することはできません。
情報セキュリティの定義は「情報を守ること」です。
つまり、必ずしも外部からの不正をあらわすわけではありません。なぜなら、情報を守るという行為には、情報が改ざんしないようにすることも含まれます し、情報自体に問題がなくても、必要なときに情報が取り出せなくなるようでは、情報が適切に守られているとはいえないでしょう。