これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
これから学ぶ人も、資格取得を目指す人も、最適なカリキュラムを選べます。
CTC 教育サービス
[IT研修]注目キーワード Python Power Platform 最新技術動向 生成AI Docker Kubernetes
このコラムでは、「Webガバナンス」をテーマに様々な切り口で、突っ込んだ内容までお届けしてみたいと思います。
今回は、Webガバナンスの大きな柱の1つであるセキュリティについて取り上げていきます。
Webガバナンスというのは様々な定義があると思いますが、このコラムでは「企業や組織が運営するWebサイトやWebアプリケーションを『統制された方針』と『明確な体制』のもとで管理し、安全性や効率性、ブランド価値を維持・向上させるための枠組みのこと」という定義にしています。
Web運営におけるガバナンスになりますので、以下のような観点がWebガバナンスを取り扱う上では重要となります。
これらについて、すべてをしっかり対応することで企業や組織で必要十分なWebガバナンスが作られるわけですが、今回はその中でも関心や危機感の比較的高い「セキュリティ」について見ていきます。
Webガバナンスにおけるセキュリティ強化とは、「Webの現状認識」「セキュリティリスクの明確化」「セキュリティ強化ルール策定・実行」です。
皆さんが運用、管理しているWebサイトやWebシステムに関することはすべて把握されていますでしょうか。もしくは、どこかに情報がまとまっていて管理がされていますでしょうか。
セキュリティ強化の最初のステップは、「今、自分たちのWebサイトやシステムはどういう状況なのか」を明確化することです。
例えば以下のようなものがあります。
これらは、しっかり取り組むとそれなりの時間を必要としますが必ずやるべきものです。
現状認識ができた後には、セキュリティリスクが存在しているのかを明確にしていきます。例えば、CMSのバージョンが古いままでセキュリティリスクがあった場合は、緊急度をかなり上げて対応しなければなりませんし、その後の運用ルールにも適用させなければいけません。
これらのセキュリティリスクについては、社内の技術担当部門やシステムの協力会社等と連携して、優先度と緊急度を分類していくようにしましょう。
1と2で、現状を把握しリスクを明確化したら後はルールを作って実行するフェーズになります。ルールについては、「基本的なセキュリティ対応は必須とする」をまずは考えて、アップデート対応・管理側のユーザー整理・個人情報の保護あたりから整備していくのが良いです。
ポイントとしては、すべてを一気にやろうとするのではなく「必須の基本的なセキュリティ対応」にフォーカスして、ここを完備したうえで次の対策に取り掛かるという手法を取ることです。
今回は、Webガバナンスにおけるセキュリティという観点でご紹介をしてきました。セキュリティについては、更に、「Web関連の担当者や管理監督者のセキュリティリテラシー」を高めていくことも必要です。例えば、SQLインジェクションやクロスサイトスクリプティングといった深刻な問題がどんなものでどういった要因で発生するのか、などを理解しておくと組織としてのWebガバナンスが更に強固になります。
そして、Webガバナンスを制定して終わりではなく3ヶ月や半年ごとに振り返りをしてガバナンスルールをブラッシュアップしていくことも必要になります。
そのためにまずは、Webガバナンスについての基本知識やセキュリティについての基本を体系的にインプットすることが良いと思っています。そして、最終的に「Webガバナンスガイドライン」のようなものを自社用で整備していき、ブラッシュアップをし続けていくことが良い社内統制となるでしょう。
セキュリティに関しては、なかなか専門知識を持っている人が少ない分野でもあります。このコラムを掲載しているCTC教育サービスでは、Webセキュリティに関するコースを提供しています。Webガバナンスの一環で、Webセキュリティに関する基礎知識を習得し、社内のガバナンスルールとして形にしていくことは非常に大事なことだと考えています。
ご興味ある方は、こちらのリンクを御覧ください。
[IT研修]注目キーワード Python Power Platform 最新技術動向 生成AI Docker Kubernetes
