あなたの会社の「セキュリティリスク」、全て正しく説明できますか?:今日から始める「性悪説セキュリティ」(4)(3/3 ページ)
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は「ERM」のアプローチで、情報資産を評価する手法を紹介する。外注して数百万円かかるような資料を自分たちの手で作れるのだという。
アンケートを基に分布図を作成
全社員にアンケートに答えてもらうのが理想ではありますが、難しい場合はチーム内でやってみたり、仲のいいチームに協力を仰いだり、最悪自分1人でも構いません。
厳密にERMを行っているとは言えませんが、セキュリティリスクに対する意識(重要度)と、実際にそのリスクが発生した際の会社や自分への影響度を判定する行為そのものが重要なのです。
先ほど、経営者と従業員で回答内容に差がある可能性を紹介しましたが、社内のシステムに精通しているかどうかでも、回答内容に差が出てきます。セキュリティ対策を行った担当者が、システムは十分機能していると自負していても、それを知らない人間が「これは大丈夫なの?」と思えば、影響度も重要度も高いと書かれる可能性もあるわけです。
アンケートを行った後は、各項目について数値をグラフ化しましょう。縦横の軸を重要度と影響度とする分布図を作るのです。重要度と影響度のどちらも高い項目が、最優先で対策すべきセキュリティリスクであるとすぐに分かります。例えば、その中で10項目を取り上げ、対策を確認してみましょう。もし対策が説明できていない場合や、不十分だと分かればすぐに行動するべきです。
影響度が低くても重要度が高い場合は、既に何らかのセキュリティ対策がなされているケースが多いです。逆に影響度が高く、重要度の低い項目は、リスクによる損害がほぼないものだと考えられます。
数百万円の価値がある資料を、自分たちの手で作れる
個人情報を守りたいと言っても、これから面接に来る人の履歴書や社員の給与データ、退職者のデータ破棄状況、取引先の名刺、メールの署名――そして、それらの保管場所がどこにあって誰が管理しているのかというのは、企業ごとに異なるはずです。
可用性、機密性、完全性の観点から見たとき、これら全ての個人情報のセキュリティレベルを同一に扱えるでしょうか。ERMにならって情報資産のリスク分析を行うことで、企業にとって本当に守るべき資産と、それらが失われたときの損失が明らかになります。
本来のERMは経営リスクを可視化するもので、監査法人などによるコンサルティングを受けながら、多額の費用を投じて行うような手法ですが、情報セキュリティや情報資産だけに絞ることで、皆さん自身の手でも作れることをご紹介しました。これだけでも、専門家に依頼すれば、数百万円かかるようなものなのです。
次回以降は、cloudpackにおけるセキュリティリスク管理の結果や、行ったセキュリティ対策の実例と実際の費用、かかった工数、苦労話も含めて、当時の資料を基に解説していきたいと思います。お楽しみに。
著者プロフィール:齊藤愼仁(さいとうしんじ)
アイレット cloudpack事業部にて情報システム、ネットワーク、セキュリティ(cloudpack-CSIRT含む)にわたる3チームを統括。ならびに情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。
情報システム部門であると同時に自社の監査機能も持ち合わせているため、業務効率化とセキュリティレベルの向上を同時に実現させるべく、日々奮闘中。
関連記事
- 【保存版】セキュリティ対策の第一歩、「情報資産リスト」の作り方
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。今回は情報セキュリティ対策の第一歩、「情報資産リスト」の作り方をcloudpackの実例を基にシンジが解説していく。 - 「セキュリティ対策、何から始める?」 その答えはただ1つだ!
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載。皆さんは、情報セキュリティ対策を始めようとしたら何をするだろうか。シンジによれば、まず行うべきことは1つしかないという……。 - “性善説”で考えるセキュリティ、もうやめませんか?
cloudpackの情シス“シンジ”が、史上最強とうたう情報セキュリティ監査「SOC2」を解説する連載がスタート。国際的には浸透しつつある監査だが、その内容は徹底的に“性悪説”を基準にしているのが特徴なのだとか……。 - ウチの情シスはアルファブロガー!? cloudpackのシンジ流「情シスPDCA」
「パスワードの定期変更は無駄だし、もはやパスワードなんて覚える気もない」「シングルサインオン? やめとけやめとけwww」――。IT企業の一情シスが、自社の取り組みを赤裸々に出しまくるようになったのはなぜか。 - 勉強嫌い、元ゲーマーの「なりゆき情シス」が「スーパー情シス」になるまで
「大学も行ってないし、そもそもエンジニアじゃない。勉強嫌いで、本も読みたくない」――。元ゲーマー、勉強嫌いの情シスは、なぜ、周囲に信頼され、愛される情シス兼情報セキュリティ管理責任者になれたのか……。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.