何事もメリハリが大事だニャ…zzz
はじまり
どもども。ぱくさんでございます。
前回の最後の方で、
利用者にとっての簡便さと、情報資産のCIA、これらを適度に確保できる、
「ちょうどいいところ」を考えて施策をうたないといけません。。
と述べたわけですが、今回はコレの続きを。。。
「ちょうどいい」の意味するところ
ここで、毎度のことですが定義の振り返りをば。
「情報セキュリティとは、企業の情報資産を狙うさまざまな脅威から、
情報資産の機密性・完全性・可用性(三大要件=C・I・A)を確保すること」
これでしたね。
★
#2で述べた、情報資産の棚卸しによって洗い出された各種の情報資産。
実のところ、これらすべての情報資産を完璧に守ることは事実上不可能です。
なぜなら、情報資産はほとんど無数にあるのに、
それを守るリソース(この場合は人手や費用や時間ですね)には限りがあるから。
また、一方で情報資産にはいろいろな種類があるはずですね。
絶対に漏らしてはいけないものもあれば、漏れたとしてもそれほど影響がないものもある。
ということは、「優先して対策すべき情報資産」を明らかにして、
そこにリソースを重点的に投入する、というのが
”ちょうどいい”情報セキュリティ施策といえるのではないでしょうか。
と、いうわけで。
情報セキュリティマネジメントにおける、「情報資産の棚卸し」に続く作業は、
「情報資産のリスク値」を評価すること
…ということになるわけです。
なお、情報資産の洗い出しから当該評価までの一連の流れのことを、その筋の人は
「リスクアセスメント」と呼称します。(注1)
リスクアセスメントの観点
さて、リスクアセスメントでは、情報資産の棚卸しをしたあと、次の3Stepを踏むことになります。
Step1【①重要性】:
情報資産台帳を基に、「(機密性・完全性・可用性の観点で)重要な資産は何か」を考えます。
Step2【②脅威】:
「その資産を取り巻く脅威の大きさ」を考えます。
Step3【③脆弱性】:
「脅威に対する、その資産の脆弱性(対策の万全度合い)」を考えます。
★
「情報資産のリスク値」=「①重要性」×「②脅威」×「③脆弱性」
…いいですかみなさん。これテストに出ますよ?(何の?笑)
★
このうち、【①重要性】は、前回述べた機密性・完全性・可用性の観点で評価することが多いです。
で、評価って、結構ベタベタに点数付けするんですよ。
定量化はもちろん難しいので、例えば、こんな感じで。
<機密性:情報を公開できる範囲で点数化>
| 項目 | 点数 |
| 一般に公開しても良い情報 | 1点 |
| 社内のみ公開しても良い情報 | 2点 |
| 社内かつ関係者のみに公開してもいい情報 | 3点 |
<完全性:情報を改ざんされたときの影響度で点数化>
| 項目 | 点数 |
| 社内の特定範囲 | 1点 |
| 社内全体 | 2点 |
| 社内全体及び外部(顧客) | 3点 |
<可用性:情報が利用不能になった場合の、復旧の緊急度で点数化>
| 項目 | 点数 |
| 翌日以降で良い | 1点 |
| 1日以内 | 2点 |
| 出来る限り早く | 3点 |
(注2)
ね?
ちゃんとC・I・Aが登場するでしょう?
…さて、こんな調子で【②脅威】や【③脆弱性】も評価するのですが。
ちょっと長くなりそうなので、今回はこのへんで。。
おわりに
<今日の名言>
「定義できないものは、管理できない。
管理できないものは、測定できない。
測定できないものは、改善できない」
(byウィリアム・エドワーズ・デミング)
ではまた。
<注>
1、実は、どこまでを「リスクアセスメント」と呼ぶかは文献によって若干違います(今回はIPAの見解に従いました)。
たぶん正解はまだなくて、「セキュリティマネジメントって発展途上な分野なんだな~」と感じさせるところです。
なればこそ、都度「言葉の定義」を確認していかないと、わけがわからなくなります…orz
2、参考:http://www.sharosi.jp/jrisk2.html
【セミナーのお知らせ】
皆様の応援が私たちの原動力となります。
ぽちっと押して、応援お願いします♪
ぱ く
最新記事 by ぱ く (全て見る)
- アドラー的な幸福の条件と承認欲求の否定 - 2019年7月15日
- アドラー的な「目的を重視すればあんまり後悔しないよね」っていう話 - 2019年4月15日
- アドラー的なトラウマ対処法のお話 - 2018年12月17日
