このブログでは情報セキュリティ対策について何度も述べてきましたが、今日はそれについてちょっとまとめをしてみましょう。
情報セキュリティ対策を行う場合、まず守るべき情報資産を洗い出します。情報資産は自分たちの組織において、守らなければならないもの、具体的なものでもいいですし、抽象的な概念でも何でもかまいません。とにかく自分たちがそれを大切と考え、守らなければならないものはすべて情報資産になりえます。
もちろん、考えられるものすべてを守ることは現実的ではないので、守るべきものをリストアップして、それに重要度の重み付けをします。
そして、それぞれの情報資産のセキュリティを脅かすものについて考えます。それを、脅威と言います。また、それぞれの情報資産を守る場合において、それぞれの情報資産にはセキュリティ上の弱点があります。その弱点のことを脆弱性(ぜいじゃくせい)と言います。
この脅威と脆弱性の組み合わせからリスクが決まります。たとえ、脅威が存在しても脆弱性が全く存在しない場合にはリスクもまた存在しないことになります。ですから、脅威があるからといって、それがすべてリスクになるわけではないのです。
例を挙げてみましょう。会社でノートPCを使用しているとします。ノートPCには紛失という脅威が存在します。しかし、社内の規則でノートPCを一切外部に持ち出さないというふうに定めて、かつ、ノートPCをセキュリティ・ワイヤー(固定用のワイヤー)で机に固定して使用していれば、外部へ持ち出して紛失するというリスクは存在しないと言えるでしょう。
では、同じ対象に対して、盗難という脅威はどうでしょうか。セキュリティ・ワイヤーで固定されていますので、脆弱性はかなり低いと言えますが、ワイヤーカッターを準備した泥棒に遭った場合、盗まれてしまう可能性があるので盗難に関してのリスクは低いですが、ゼロとは言えません。
こんな風に、脅威、脆弱性の組み合わせから情報資産に対するリスクを考えていくのです。実際ISMS(ISO27001)の認証を取得するためには、この作業が必須です。というより、この作業が情報セキュリティマネジメントシステム(ISMS)構築の主たる作業となります。
脆弱性がたくさん存在する情報資産については、その脆弱性を減らさなければなりません。自分たちが安全と定める一定の基準以下に脆弱性を減らした時点で、その情報資産についてのリスク管理が適切になされているということになります。
どうしても脆弱性が減らせなくてリスクの軽減ができない場合があります。そういう場合は、その情報資産自体の所有をやめてしまうことも、ひとつの選択肢です。また、そこから生じるリスクを他に移転してしまう方法があります。たとえば、保険をかけることによって、ノートPCが盗難にあってもノートPC自体は再び購入することができます。
もっとも、PCを盗まれるということは内部に入っている情報も盗まれてしまうわけですから、物品の盗難保険に入っただけでは、情報そのものの盗難に対するリスクは減らせないことに注意してください。
情報セキュリティ対策という何かとてもむずかしいように聞こえますが、上記の考え方さえきちんと押さえていれば、基本は理解できていることになります。
皆さんも、普段からいろいろなものに対してどんな脅威と脆弱性があって、最終的にリスクはどうなるかということを考えるくせをつけてみると、セキュリティ対策をより身近なものとして感じることができるようになるはずです。
← クリックして応援よろしくお願いします!
★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★
★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~
情報セキュリティ対策を行う場合、まず守るべき情報資産を洗い出します。情報資産は自分たちの組織において、守らなければならないもの、具体的なものでもいいですし、抽象的な概念でも何でもかまいません。とにかく自分たちがそれを大切と考え、守らなければならないものはすべて情報資産になりえます。
もちろん、考えられるものすべてを守ることは現実的ではないので、守るべきものをリストアップして、それに重要度の重み付けをします。
そして、それぞれの情報資産のセキュリティを脅かすものについて考えます。それを、脅威と言います。また、それぞれの情報資産を守る場合において、それぞれの情報資産にはセキュリティ上の弱点があります。その弱点のことを脆弱性(ぜいじゃくせい)と言います。
この脅威と脆弱性の組み合わせからリスクが決まります。たとえ、脅威が存在しても脆弱性が全く存在しない場合にはリスクもまた存在しないことになります。ですから、脅威があるからといって、それがすべてリスクになるわけではないのです。
例を挙げてみましょう。会社でノートPCを使用しているとします。ノートPCには紛失という脅威が存在します。しかし、社内の規則でノートPCを一切外部に持ち出さないというふうに定めて、かつ、ノートPCをセキュリティ・ワイヤー(固定用のワイヤー)で机に固定して使用していれば、外部へ持ち出して紛失するというリスクは存在しないと言えるでしょう。
では、同じ対象に対して、盗難という脅威はどうでしょうか。セキュリティ・ワイヤーで固定されていますので、脆弱性はかなり低いと言えますが、ワイヤーカッターを準備した泥棒に遭った場合、盗まれてしまう可能性があるので盗難に関してのリスクは低いですが、ゼロとは言えません。
こんな風に、脅威、脆弱性の組み合わせから情報資産に対するリスクを考えていくのです。実際ISMS(ISO27001)の認証を取得するためには、この作業が必須です。というより、この作業が情報セキュリティマネジメントシステム(ISMS)構築の主たる作業となります。
脆弱性がたくさん存在する情報資産については、その脆弱性を減らさなければなりません。自分たちが安全と定める一定の基準以下に脆弱性を減らした時点で、その情報資産についてのリスク管理が適切になされているということになります。
どうしても脆弱性が減らせなくてリスクの軽減ができない場合があります。そういう場合は、その情報資産自体の所有をやめてしまうことも、ひとつの選択肢です。また、そこから生じるリスクを他に移転してしまう方法があります。たとえば、保険をかけることによって、ノートPCが盗難にあってもノートPC自体は再び購入することができます。
もっとも、PCを盗まれるということは内部に入っている情報も盗まれてしまうわけですから、物品の盗難保険に入っただけでは、情報そのものの盗難に対するリスクは減らせないことに注意してください。
情報セキュリティ対策という何かとてもむずかしいように聞こえますが、上記の考え方さえきちんと押さえていれば、基本は理解できていることになります。
皆さんも、普段からいろいろなものに対してどんな脅威と脆弱性があって、最終的にリスクはどうなるかということを考えるくせをつけてみると、セキュリティ対策をより身近なものとして感じることができるようになるはずです。
← クリックして応援よろしくお願いします!★★★情報セキュリティメールマガジンのご紹介とお申し込みはここをクリックしてください。ぜひ、のぞいていってくださいね★★★
★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~