cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は「ERM」のアプローチで、情報資産を評価する手法を紹介する。外注して数百万円かかるような資料を自分たちの手で作れるのだという。
こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。
セキュリティ対策に手を付けたいが、何から始めていいか分からない、何が効果的かも分からない――。そんな皆さんに向け、前回作成した「情報資産リスト」を活用して、より具体的かつ実践的なセキュリティ対策を行う方法を、各フェーズに分けてご紹介していこうと思います。
セキュリティインシデントが多い昨今ですが、むやみに「セキュリティ対策に予算と権限を!」と主張したところで誰も納得しないでしょう。情報資産リストというのは、社内に存在し、把握できた範囲内の情報資産を洗い出しただけに過ぎません。
もちろん、リストの中には、個人情報が含まれているかどうかというフラグを立てたり、機密性、完全性、可用性の観点からの評価が含まれていたりします。しかし、実際に紛失や漏えい事故が起きた場合の影響度などを可視化できたとはいえません。そこで、エンタープライズ・リスクマネジメント(ERM)という手法で、情報資産の重要度と、実際に各情報が漏えい、紛失、改ざんされた場合の影響度を明らかにしていきます。
ERMは経営的な観点から、会社全体のリスク評価を徹底的に洗い出して対策するというアプローチを指します。そのため、従業員の健康面や為替リスクなど、情報セキュリティの範囲を超えたリスクも取り扱うことが一般的ですが、今回は情報セキュリティ関連に絞って解説します。
早速ERMを紹介したいところですが、その前に注意すべき点があります。それは会社や人、考え方によって情報資産の価値は変わるということです。セキュリティ対策を行う上で、「これをやれば大丈夫」といわれるものは存在しません。企業規模や業種によって、守るべき情報の価値が異なるためです。
例えば、EC事業のみを展開している企業にとって、自社ECサイトはビジネスの“生命線”です。仮にダウンすれば膨大な販売機会の損失を生むため、Webサイトへの投資額が大きくても、妥当と考える人が多くなるでしょう。一方で、飲食店チェーンのWebサイトが落ちたとしても、主たるビジネスへの影響は比較的少ないため、さほど予算をかけないかもしれません。
こうした考え方(価値観)の違いは、同じ企業の中でも起こります。
Copyright © ITmedia, Inc. All Rights Reserved.