あなたの会社の「セキュリティリスク」、全て正しく説明できますか?:今日から始める「性悪説セキュリティ」(4)(1/3 ページ)
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は「ERM」のアプローチで、情報資産を評価する手法を紹介する。外注して数百万円かかるような資料を自分たちの手で作れるのだという。
こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。
セキュリティ対策に手を付けたいが、何から始めていいか分からない、何が効果的かも分からない――。そんな皆さんに向け、前回作成した「情報資産リスト」を活用して、より具体的かつ実践的なセキュリティ対策を行う方法を、各フェーズに分けてご紹介していこうと思います。
セキュリティインシデントが多い昨今ですが、むやみに「セキュリティ対策に予算と権限を!」と主張したところで誰も納得しないでしょう。情報資産リストというのは、社内に存在し、把握できた範囲内の情報資産を洗い出しただけに過ぎません。
もちろん、リストの中には、個人情報が含まれているかどうかというフラグを立てたり、機密性、完全性、可用性の観点からの評価が含まれていたりします。しかし、実際に紛失や漏えい事故が起きた場合の影響度などを可視化できたとはいえません。そこで、エンタープライズ・リスクマネジメント(ERM)という手法で、情報資産の重要度と、実際に各情報が漏えい、紛失、改ざんされた場合の影響度を明らかにしていきます。
ERMは経営的な観点から、会社全体のリスク評価を徹底的に洗い出して対策するというアプローチを指します。そのため、従業員の健康面や為替リスクなど、情報セキュリティの範囲を超えたリスクも取り扱うことが一般的ですが、今回は情報セキュリティ関連に絞って解説します。
ERMの注意点――社内に潜む「価値観の違い」
早速ERMを紹介したいところですが、その前に注意すべき点があります。それは会社や人、考え方によって情報資産の価値は変わるということです。セキュリティ対策を行う上で、「これをやれば大丈夫」といわれるものは存在しません。企業規模や業種によって、守るべき情報の価値が異なるためです。
例えば、EC事業のみを展開している企業にとって、自社ECサイトはビジネスの“生命線”です。仮にダウンすれば膨大な販売機会の損失を生むため、Webサイトへの投資額が大きくても、妥当と考える人が多くなるでしょう。一方で、飲食店チェーンのWebサイトが落ちたとしても、主たるビジネスへの影響は比較的少ないため、さほど予算をかけないかもしれません。
こうした考え方(価値観)の違いは、同じ企業の中でも起こります。
関連記事
- 【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。 - 「セキュリティ対策、何から始める?」 その答えはただ1つだ!
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。 - “性善説”で考えるセキュリティ、もうやめませんか?
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。 - ウチの情シスはアルファブロガー!? cloudpackのシンジ流「情シスPDCA」
「パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気もない」「シングルサインオン? やめとけやめとけwww」――。IT企業の一情シスが、自社の取り組みを赤裸々に出しまくるようになったのはなぜか。 - 勉強嫌い、元ゲーマーの「なりゆき情シス」が「スーパー情シス」になるまで
「大学も行ってないし、そもそもエンジニアじゃない。勉強嫌いで、本も読みたくない」――。元ゲーマー、勉強嫌いの情シスは、なぜ、周囲に信頼され、愛される情シス兼情報セキュリティ管理責任者になれたのか……。
Copyright © ITmedia, Inc. All Rights Reserved.