あなたの会社の「セキュリティリスク」、全て正しく説明できますか?:今日から始める「性悪説セキュリティ」(4)(2/3 ページ)
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は「ERM」のアプローチで、情報資産を評価する手法を紹介する。外注して数百万円かかるような資料を自分たちの手で作れるのだという。
情報セキュリティ版、ERMの進め方
情報システム部のセキュリティ担当者が「これだけはちゃんとやりたい、やってほしい、とても重要だ!」と考える対策が、別の部署や取締役会でも同じ“温度感”で捉えられているとは限りません。現場が最も苦労するのはまさにここです。
一方で、会社を引っ張る立場の人間が「ここは対策すべきだ!」と言っても、現場が全くついてこないという逆のパターンもあります。社内で価値観や温度感をそろえるためにも、ERMは重要なのです。
通常、ERMは以下のような質問を50〜100問ほど作成して、全従業員にアンケートに答えてもらいます。
質問例1:会社貸与PCのパスワードが定期的に変更されていない
- 重要度――1〜5(数値が高いほど、重大なリスクである)
- 影響度――1〜5(数値が高いほど、影響が大きなリスクである)
この際に回答者がどのような役職なのかも記載してもらい、グループ分けをすると良いでしょう。経営陣が考えるリスクと、末端の従業員が考えるリスクが乖離している様子を可視化できます。このほか、セキュリティ担当者にしか分からないような質問も作ります。
質問例2:社内サーバはActive Directoryでの時刻同期が行われておらず、ログの時刻にズレがある
- 重要度――1〜5(数値が高いほど、重大なリスクである)
- 影響度――1〜5(数値が高いほど、影響が大きなリスクである)
回答できない、分からないといった質問は無記入でOK。分かる人が分かる範囲で回答すれば良いのです。また、費用面に触れた質問も作りましょう。
質問例3:社内システムについてA社に年間1千万円ほど支払っているが、情報セキュリティや費用対効果が不透明
- 重要度――1〜5(数値が高いほど、重大なリスクである)
- 影響度――1〜5(数値が高いほど、影響が大きなリスクである)
自社内にエンジニアが少ない場合、セキュリティ対策を外注する場合もあります。しかし、特定のシステムインテグレーターとの癒着や、古くからの付き合いがあるから発注しているなど、政治的な事情は情報セキュリティの観点からみて正しい形だとは限りません。個人情報を含むシステムの場合は、外部委託先評価を行うべきですが、取引先の自己診断要素が強いので、自分自身で評価・判断することが重要になります。
関連記事
- 【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。 - 「セキュリティ対策、何から始める?」 その答えはただ1つだ!
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。 - “性善説”で考えるセキュリティ、もうやめませんか?
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。 - ウチの情シスはアルファブロガー!? cloudpackのシンジ流「情シスPDCA」
「パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気もない」「シングルサインオン? やめとけやめとけwww」――。IT企業の一情シスが、自社の取り組みを赤裸々に出しまくるようになったのはなぜか。 - 勉強嫌い、元ゲーマーの「なりゆき情シス」が「スーパー情シス」になるまで
「大学も行ってないし、そもそもエンジニアじゃない。勉強嫌いで、本も読みたくない」――。元ゲーマー、勉強嫌いの情シスは、なぜ、周囲に信頼され、愛される情シス兼情報セキュリティ管理責任者になれたのか……。
Copyright © ITmedia, Inc. All Rights Reserved.