情報セキュリティマネジメントの効率性改善への取り組み(後):特集:インフォメーションガバナンス(情報統治)
(前編はこちら)
課題の解決に向けて
広範かつ多岐にわたる情報セキュリティマネジメント業務を改善していくことは、けっして容易なことではない。明確な方向性が打ち出せないまま改善策を考えたところで、対症療法的な改善しか行うことができないことになってしまうからである。
このため、最初に、組織の中でリスクを洗い出し、その重要度に従って、優先順位をつける必要がある。そうして絞り込まれた優先度の高い、重大なリスクについて、あらかじめ「リスク回避」または「リスク移転」の措置を講じていく、ということによって、マネジメント業務の範囲を限定していくことが求められるのである。
ISMSの確立には、3 つのフェーズが存在する。
まず、最初のフェーズ(フェーズ1)では、ISMSの適用範囲を決定し、情報セキュリティの全般的な方向性および行動指針を定義する。
次のフェーズ(フェーズ2)では、リスクを詳細に分析し、セキュリティ障害による事業上の損害および発生可能性から、リスクの度合いを評価し、リスク対応策および詳細管理策を決定する。
そして、最後のフェーズ(フェーズ3)では、ISMS適用宣言書を作成するとともに、経営者は残存リスクを承認しISMSを実施する許可を与える。
以上の3つのフェーズのなかで、情報セキュリティマネジメント業務の範囲と内容を特定する上で、とくに重要なポイントとなるのは、フェーズ2 で行うリスク対応策の決定ということになる(図1参照)。
リスク対応策には、「リスク回避」、「リスク移転」、「リスク分散」、「リスク保有」という4つの方法論が考えられるが、これらの対応策はリスクの度合いに応じて選択されるものであり、一概にどれが優れていると評価することはできない。
比較的軽度のリスクであれば、そのリスクをそのまま保有し具体的な管理策を講じることが考えられる。しかし、組織にとって看過できない損害の発生がある程度の確度で想定される場合については、そのリスクを含む事業や業務を中止したり、物理的・技術的な対策を実施することで抜本的な予防措置を講じる(「リスク回避」)ことが望ましいし、あるいは、アウトソーシングサービスを活用し専門の事業者に委託する(「リスク移転」)という方法を採用することもある。
ISMS認証を取得していたにもかかわらず、情報セキュリティ事故が発生してしまうことは往々にしてある。これらの事故のなかには、リスクの詳細な分析結果により重大なリスクの存在を認めながらも、「リスク回避」、「リスク移転」の措置を検討することなく、そのリスクを継続して保有することを前提として管理策を決定したものがあるように思われる。
PDCAサイクルを意識した情報保護ソリューション
リスク分析結果に基づく適切なリスク対応策が講じられたからといって、情報セキュリティマネジメント業務が、円滑に運用されることになるとは限らない。日常の業務のなかでマネジメント活動に対する継続的な改善を行っていく仕組みもまた、重要なカギを握っていることになる。
このため、NRIでは、マネジメントシステムの継続的な改善という側面に配慮するため、PDCAサイクルを意識した情報保護ソリューションをラインナップしている。
まず、Webブラウザからの機密情報の漏えいを防止する「Webブラウザプロテクター」は、リスク対応策のなかで、「リスク回避」、または「リスク移転」の措置に位置付けられる。また、重要なデータを含むお客様のサーバーを物理的に安全な場所で管理し、運用状況を監視する「IDC(Internet Data Center)サービス」を提供しているが、これらはPDCAサイクルの「P」「D」にあたる。
これに加えて、日常のリスクマネジメント業務を効率化するために、セキュリティポリシーの順守状況の監視を支援する「bv-Control シリーズ」や、このようなセキュリティ評価ツールを利用したインターネットおよびイントラネット上でのセキュリティ診断サービスなどを提供することにより、「C」の面で継続的な改善活動を支援していくことを意識している。このように、システム構築にあたり、各ソリューションがPDCAサイクルのどこに位置付けられるかを考えることは改善の継続性維持の目的に対して有益であろう。
システムを一度導入すれば、それで解決と考える企業は多い。しかし、継続的に改善を続けていくチェック体制を確立することは、今後ますます重要となっていくであろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。