あなたの会社の「セキュリティリスク」、全て正しく説明できますか？：今日から始める「性悪説セキュリティ」（4）（2/3 ページ）

[齊藤愼仁，ITmedia]

情報セキュリティ版、ERMの進め方

社内での認識をそろえるためにもERMは重要。全従業員にアンケートをやってもらうのが理想的です

　情報システム部のセキュリティ担当者が「これだけはちゃんとやりたい、やってほしい、とても重要だ！」と考える対策が、別の部署や取締役会でも同じ“温度感”で捉えられているとは限りません。現場が最も苦労するのはまさにここです。

　一方で、会社を引っ張る立場の人間が「ここは対策すべきだ！」と言っても、現場が全くついてこないという逆のパターンもあります。社内で価値観や温度感をそろえるためにも、ERMは重要なのです。

　通常、ERMは以下のような質問を50〜100問ほど作成して、全従業員にアンケートに答えてもらいます。

質問例1：会社貸与PCのパスワードが定期的に変更されていない

• 重要度――1〜5（数値が高いほど、重大なリスクである）
• 影響度――1〜5（数値が高いほど、影響が大きなリスクである）

　この際に回答者がどのような役職なのかも記載してもらい、グループ分けをすると良いでしょう。経営陣が考えるリスクと、末端の従業員が考えるリスクが乖離している様子を可視化できます。このほか、セキュリティ担当者にしか分からないような質問も作ります。

質問例2：社内サーバはActive Directoryでの時刻同期が行われておらず、ログの時刻にズレがある

• 重要度――1〜5（数値が高いほど、重大なリスクである）
• 影響度――1〜5（数値が高いほど、影響が大きなリスクである）

　回答できない、分からないといった質問は無記入でOK。分かる人が分かる範囲で回答すれば良いのです。また、費用面に触れた質問も作りましょう。

質問例3：社内システムについてA社に年間1千万円ほど支払っているが、情報セキュリティや費用対効果が不透明

• 重要度――1〜5（数値が高いほど、重大なリスクである）
• 影響度――1〜5（数値が高いほど、影響が大きなリスクである）

　自社内にエンジニアが少ない場合、セキュリティ対策を外注する場合もあります。しかし、特定のシステムインテグレーターとの癒着や、古くからの付き合いがあるから発注しているなど、政治的な事情は情報セキュリティの観点からみて正しい形だとは限りません。個人情報を含むシステムの場合は、外部委託先評価を行うべきですが、取引先の自己診断要素が強いので、自分自身で評価・判断することが重要になります。