「セキュリティ対策、何から始める？」 その答えはただ1つだ！：今日から始める「性悪説セキュリティ」（2）（1/2 ページ）

cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。

[齊藤愼仁，ITmedia]

　こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

　読者の皆さんは自社のセキュリティ対策を行おうとしたときに、まず何をするでしょうか。私が知る中では、多くの会社が「自社で事故が起きてしまった」もしくは「事件や事故が起きたことをメディアで知った」ことなどがきっかけで、その対策を“付け焼き刃的に”行っているように思います。

　ここ最近は、特にランサムウェア対策や、標的型攻撃対策のセキュリティ製品がずらずらと市場に出回っていますが、皆さんがまずやるべきは製品の選定や評価ではありません。具体的な対策に入る前に「会社がどんな立ち位置にあり、どんな情報を守らなければならないのか」ということを評価する必要があるのです。

「自社の本当に守るべき情報は何か」を知る方法

　それでは、実際にcloudpackが受領しているSOC2レポート（独立受託会社監査人の保証報告書）をベースに説明していきましょう。

　このレポートで最初に決めるのは監査の対象範囲です。この部分は監査を受ける企業が自由に設定できます。当然のことながら、会社全体の統制状況を評価してもらうよりは、一部に絞った方が監査自体もスムーズになるのですが、セキュリティで守るべき範囲を狭めるというのは、実は非常に難しいことなのです。

　なぜなら、守るべき情報資産に対するランク付けや、物理ネットワーク構成による隔離、はたまた人的教育の差など、会社の規模にかかわらず、情報資産に対するリスク評価が行われていなければ、そもそも何を守るべきかも判断できないためです。そして、これが今回のテーマである「セキュリティ対策を何から始めるか」の答えにもなるのです。まずは情報資産に対するリスクを一覧にしてみましょう。次の手順はその一例です。

1. 自社にどんな情報資産があるのか、ずらっと書き出す
2. それらの情報がどこに保管されているのか追記する
3. それぞれの項目について、会社にとっての「価値」をランク付けしてみる
4. 誰が、もしくはどの部署がその情報を管理しているのか追記する
5. その情報が漏えい、破壊、紛失、事故が起きた場合のリスクをランク付けしてみる

情報資産における事故が重大な経営リスクだと経営層に分からせるには、この情報資産リストが非常に役立ちます（写真はイメージです）

　もしも皆さんが、会社の上層部に対して「ウチの会社はセキュリティ意識が低いからなぁ」とか「もっとセキュリティ対策したいのに予算確保が……」と思っているなら、このリストが役立ちます。自社が持つそれぞれの情報資産がこういう形で、こんな風に事件が起きたら、会社がなくなるかもしれない――という重大な「リスク」を可視化できるからです。情報資産における事故は、重大な経営リスクであることを彼らに自覚させましょう。

　法律上守られなければならない情報資産と、会社にとって守るべき情報資産は必ずしも一致しません。作成したリストは、最低でも1年に1回は見直して更新すべきです。情報資産の洗い出しとリスク分析を自社で行うことで、重要度が高く、かつリスクの高い情報資産が可視化され、本当の意味で守るべき情報を明確にできます。そして、これこそがSOC2の監査対象であるべき項目となるわけです。