あなたの会社の「セキュリティリスク」、全て正しく説明できますか？：今日から始める「性悪説セキュリティ」（4）（3/3 ページ）

[齊藤愼仁，ITmedia]

アンケートを基に分布図を作成

　全社員にアンケートに答えてもらうのが理想ではありますが、難しい場合はチーム内でやってみたり、仲のいいチームに協力を仰いだり、最悪自分1人でも構いません。

　厳密にERMを行っているとは言えませんが、セキュリティリスクに対する意識（重要度）と、実際にそのリスクが発生した際の会社や自分への影響度を判定する行為そのものが重要なのです。

　先ほど、経営者と従業員で回答内容に差がある可能性を紹介しましたが、社内のシステムに精通しているかどうかでも、回答内容に差が出てきます。セキュリティ対策を行った担当者が、システムは十分機能していると自負していても、それを知らない人間が「これは大丈夫なの？」と思えば、影響度も重要度も高いと書かれる可能性もあるわけです。

　アンケートを行った後は、各項目について数値をグラフ化しましょう。縦横の軸を重要度と影響度とする分布図を作るのです。重要度と影響度のどちらも高い項目が、最優先で対策すべきセキュリティリスクであるとすぐに分かります。例えば、その中で10項目を取り上げ、対策を確認してみましょう。もし対策が説明できていない場合や、不十分だと分かればすぐに行動するべきです。

　影響度が低くても重要度が高い場合は、既に何らかのセキュリティ対策がなされているケースが多いです。逆に影響度が高く、重要度の低い項目は、リスクによる損害がほぼないものだと考えられます。

分布図の例。右上にある赤枠内が高いリスクを持つ項目で、今回はこの赤枠から10項目程度を抜き出せば良いでしょう。このサンプルはランダム値で作成しましたが、本格的なERMでは分布具合から内部統制の状態を判断する重要な指標となります

数百万円の価値がある資料を、自分たちの手で作れる

　個人情報を守りたいと言っても、これから面接に来る人の履歴書や社員の給与データ、退職者のデータ破棄状況、取引先の名刺、メールの署名――そして、それらの保管場所がどこにあって誰が管理しているのかというのは、企業ごとに異なるはずです。

　可用性、機密性、完全性の観点から見たとき、これら全ての個人情報のセキュリティレベルを同一に扱えるでしょうか。ERMにならって情報資産のリスク分析を行うことで、企業にとって本当に守るべき資産と、それらが失われたときの損失が明らかになります。

　本来のERMは経営リスクを可視化するもので、監査法人などによるコンサルティングを受けながら、多額の費用を投じて行うような手法ですが、情報セキュリティや情報資産だけに絞ることで、皆さん自身の手でも作れることをご紹介しました。これだけでも、専門家に依頼すれば、数百万円かかるようなものなのです。

　次回以降は、cloudpackにおけるセキュリティリスク管理の結果や、行ったセキュリティ対策の実例と実際の費用、かかった工数、苦労話も含めて、当時の資料を基に解説していきたいと思います。お楽しみに。

著者プロフィール：齊藤愼仁（さいとうしんじ）

　アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ（cloudpack-CSIRT含む）にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

　情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。

• ブログ：「ロードバランスすだちくん」