セキュリティ事故対策は「起こることを前提」に考える：セキュリティ対策は事前と事後をつなぐ時代（2/2 ページ）

[尾崎孝章，デンカク]

「事故前提社会」への対応強化

　2次計画をきっかけとして、これからの情報セキュリティを考えていく際に、従来のセキュリティ管理では、事前対策としての予防ばかりにスポットが当てられ続け、事後活動の準備まで至っていないことを示唆している。これは、そもそも事故の発生を社会的に許容する状況にないことはもちろん、事後対策（是正）よりも事前対策（予防）を行う方が、一般に費用として抑えられ、対策として効果的であるという理由による。ただ、事故が起きてからでは遅いという認識は確かに正しいが、一方で予防活動にあらゆる事故の可能性を想定して対応するには限りがある。

　また予防一辺倒で、いざ事故が起こってみたら、何をどうしたら良いか分からずに被害が拡大してしまった例はいくらでもある。情報セキュリティとは少し違うが、「消火器を購入したが、いざ火事が起きた時には消火器の使い方が分からなかった」という笑い話があり、これではいけない。速やかな事故処理に対応できるか否かで、事業活動への影響や顧客の信頼にかかわってくるのであり、当然に事故処理への対応も企業として考えていかなければならない。

　そこで2次計画では、事故前提社会への対応強化について、事故時の迅速な対応や復旧を進め、事業継続性を確保することを求め、それを実行するためのアプローチとして、「情報セキュリティ政策のPDCAサイクル確立」を挙げている。

未然の事後活動をPDCAに照らして考える

　PDCAサイクルとは、経営管理手法の一つであり、Plan（計画）、Do（実行）、Check（点検）、Action（改善）を繰り返すことで継続的な改善活動を実現しようというものである。このPDCAサイクルに、従来の事前活動を照らせば、自社業務におけるセキュリティリスクの認識をして、その対策を用意することが計画であり（P）、実行してみて（D）、状況を点検し（C）、周囲のセキュリティ環境に応じてさらなる対策の改善（A）を図るということになる。予防活動としてのPDCAサイクルである以上、ここには事故が起きた際の活動は含まれていない。

　事後活動（是正活動）に照らしてみると、事故が起きた際に、今後の対処計画を立て（P）、早急な復旧活動を実施し（D）、対処後に活動を振り返ってみて（C）、問題があった部分については対処計画を改善（A）することになる。ただし、事故が起きてから計画を立てるのでは、組織がパニック状態の中で迅速な対処は期待できない。そこで、Pの部分だけは事後ではなく事前にある程度立てるべく、Pのみ事前活動と位置付けて、実際に事故が起きたことを想定した具体的な計画案を用意していくことが大切である。さらにいえば、計画についてのみのPDCAサイクル活動ができると良い。これは、想定した事故に対する必要な準備（代替機器類の手配や人材リソースの補充など）を計画し（P）、事故想定状況に対する訓練活動を行い（D）、これら活動の検証（C）から、より具体的かつ実行可能な計画へリファインする（A）ことである。

　ISMSやプライバシーマーク認証などを取得している企業であれば、リスク管理において、想定リスクを明確に認識する必要があることから、そのリスクが発生した際の対処を想定した緊急事故対策の流れを設けていけばよい。といっても、こうした事後活動は、当然に実際に事故が発生してみて初めて具体的な行動に移せるものであり、単に想像で事故発生を思い描いてみても、「現実は違い、計画通りにいかず準備は役に立ちませんでした」と、事後活動が有効に機能しないことが多い。

　次回以降は想定し得るセキュリティ事故を挙げながら、その事件背景や事後対策などを紹介しよう。その中で、自社の管理体制と照らし合わせ、情報セキュリティに対する自社の事後対応をどう具現化していくかのヒントにしていただきたい。

執筆者プロフィール：

おざき・たかあき　株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら