何事もメリハリが大事だニャ…zzz

はじまり

どもども。ぱくさんでございます。

前回の最後の方で、

利用者にとっての簡便さと、情報資産のCIA、これらを適度に確保できる、
「ちょうどいいところ」を考えて施策をうたないといけません。。

と述べたわけですが、今回はコレの続きを。。。

「ちょうどいい」の意味するところ

ここで、毎度のことですが定義の振り返りをば。

情報セキュリティとは、企業の情報資産を狙うさまざまな脅威から、
 情報資産の機密性・完全性・可用性(三大要件=C・I・A)を確保すること」

これでしたね。

#2で述べた、情報資産の棚卸しによって洗い出された各種の情報資産。

実のところ、これらすべての情報資産を完璧に守ることは事実上不可能です。

なぜなら、情報資産はほとんど無数にあるのに、
それを守るリソース(この場合は人手や費用や時間ですね)には限りがあるから。

また、一方で情報資産にはいろいろな種類があるはずですね。
絶対に漏らしてはいけないものもあれば、漏れたとしてもそれほど影響がないものもある。

ということは、「優先して対策すべき情報資産」を明らかにして、
そこにリソースを重点的に投入する、というのが
”ちょうどいい”情報セキュリティ施策といえるのではないでしょうか。

と、いうわけで。

情報セキュリティマネジメントにおける、「情報資産の棚卸し」に続く作業は、

「情報資産のリスク値」を評価すること

…ということになるわけです。

なお、情報資産の洗い出しから当該評価までの一連の流れのことを、その筋の人は
「リスクアセスメント」と呼称します。(注1)

リスクアセスメントの観点

さて、リスクアセスメントでは、情報資産の棚卸しをしたあと、次の3Stepを踏むことになります。

Step1【①重要性】:
情報資産台帳を基に、「(機密性・完全性・可用性の観点で)重要な資産は何か」を考えます。

Step2【②脅威】:
「その資産を取り巻く脅威の大きさ」を考えます。

Step3【③脆弱性】:
「脅威に対する、その資産の脆弱性(対策の万全度合い)」を考えます。

「情報資産のリスク値」=「①重要性」×「②脅威」×「③脆弱性」

…いいですかみなさん。これテストに出ますよ?(何の?笑)

このうち、【①重要性】は、前回述べた機密性・完全性・可用性の観点で評価することが多いです。

で、評価って、結構ベタベタに点数付けするんですよ。

定量化はもちろん難しいので、例えば、こんな感じで。

<機密性:情報を公開できる範囲で点数化>

項目 点数
一般に公開しても良い情報 1点
社内のみ公開しても良い情報 2点
社内かつ関係者のみに公開してもいい情報 3点

<完全性:情報を改ざんされたときの影響度で点数化>

項目 点数
社内の特定範囲 1点
社内全体 2点
社内全体及び外部(顧客) 3点

<可用性:情報が利用不能になった場合の、復旧の緊急度で点数化>

項目 点数
翌日以降で良い 1点
1日以内 2点
出来る限り早く 3点

(注2)

 

ね?
ちゃんとC・I・Aが登場するでしょう?

 

…さて、こんな調子で【②脅威】や【③脆弱性】も評価するのですが。

ちょっと長くなりそうなので、今回はこのへんで。。

おわりに

<今日の名言>

「定義できないものは、管理できない。
管理できないものは、測定できない。
測定できないものは、改善できない」
(byウィリアム・エドワーズ・デミング)

ではまた。


<注>

1、実は、どこまでを「リスクアセスメント」と呼ぶかは文献によって若干違います(今回はIPAの見解に従いました)。
たぶん正解はまだなくて、「セキュリティマネジメントって発展途上な分野なんだな~」と感じさせるところです。
なればこそ、都度「言葉の定義」を確認していかないと、わけがわからなくなります…orz

2、参考:http://www.sharosi.jp/jrisk2.html


【セミナーのお知らせ】

お客様が課題を話してくれるようになるための「仮説営業のすすめ」


皆様の応援が私たちの原動力となります。
ぽちっと押して、応援お願いします♪

にほんブログ村 経営ブログ 経営者へ にほんブログ村 経営ブログ コンサルタントへ
にほんブログ村

 

 

The following two tabs change content below.

ぱ く

「世界中がハッピーであるために、とりあえず自分の目の届く範囲を全員ハッピーにしよう」…と今日も諸々ワルダクミしています。 以後よしなに!