【 ここから本文 】
ビジネス・コミュニケーション
ソーシャルブックマークに登録 :
印刷用ページの表示
コンプライアンス時代の情報セキュリティ・ポリシー
英国の事例から情報セキュリティ対策の有効策を探る
(2006年11月14日)
情報セキュリティ・ポリシーの策定手順とリスク・アセスメント
情報セキュリティ・ポリシーは、図1に示すように「基本方針」「対策基準」「実施手順」といった階層構造を持っており、マネジメント層のコミットメントの下、トップダウンで進めることが不可欠である。
| 図1:情報セキュリティ・ポリシーの階層構造 |
 |
策定に際しては図2のような手順をとるが、ここで重要なのは、ポリシーの策定に先立ってリスク・アセスメントを実施し、「何を守りたいのか」、「どのような脅威が存在するのか」、「脆弱性(弱点)はどこか」などを十分に分析・評価することである。
リスク・アセスメントは、新会社法や日本版SOX法(金融商品取引法)で求められている内部統制(IT全般統制)にも共通する手法であるため、詳しく説明したい。リスク・アセスメントは、主に以下の4つのステップで行う。
| 図2:「情報セキュリティポリシーに関するガイドライン」における策定手順
|
 |
ステップ1:資産の洗い出しおよび評価
ステップ2:リスクの識別(脅威・脆弱性など)
ステップ3:リスク値の算出
ステップ4:リスク対応(軽減・受容・回避・移転)
ステップ1:資産の洗い出しおよび評価
資産の洗い出しにはさまざまな方法があるが、筆者はプロセスに着目する方法を勧めている。まず、会社の事業活動をいくつかのビジネス・プロセスに分類し、チャートに書き出す。全社一斉にリスク・アセスメントを行うのが現実的でない場合には、特に重要なプロセスを選んで取り組むのがよいだろう。書き出したチャートを見ていると、プロセスごとに資産の交換(移動)が行われていることがわかるはずだ。資産としては、個人情報が保存されたデータベースやPC、人材、ノウハウ、ブランド・ネーム、信頼なども含まれる。それらの資産をすべて書き出し、資産ごとに情報管理責任者を決めていく。
ステップ2:リスクの識別(脅威・脆弱性など)
| 表1:企業が検討すべき主なリスクの一覧
|
 |
セキュリティ事故は、情報システムや組織に損害をもたらす潜在的な要因(脆弱性)と、脆弱性により誘引され、顕在化するもの(脅威)の組み合わせによって発生する。脆弱性と脅威の組み合わせは、リスクが顕在化する要因であるため、リスク因子と呼ばれることもある。同じ資産でも、ライフサイクルのフェーズ(生成・使用・保管・破棄)ごとに異なるリスクがあるため、資産ごと(効率を上げるために情報資産をグループ化している場合にはグループごと)にライフサイクルに注目する。企業を取り巻くリスクの中で、情報セキュリティで検討すべき主なリスクについては表1にまとめた。
ステップ3:リスク値の算出
セキュリティ対策は効果が目に見えにくいことから、「どこまで対策を実施すればいいのか」、「企業資産をどこまで投資すればよいのか」の判断が難しいと感じる担当者は多いはずだ。実際、セキュリティ対策の実施範囲や実施の程度として適切な水準を決定することは、きわめて困難である。そこで、リスクを数値化し、リスクの高い領域から費用対効果を考えつつ、効率的にセキュリティ対策を実施していくことになる。リスク値の計算は、情報資産ごと(あるいはグループごと)に行う。筆者は、以下の計算式で行っている。
リスク値=資産価値×リスクが顕在化した場合の影響度×発生の可能性
| 表2:発生の可能性基準 |
 |
「資産価値」、「リスクが顕在化した場合の影響度」は、情報管理責任者が情報利用者、関係者、外部の専門家から提供される情報を基に検討する。影響度は被害にあった資産を「元の状態に戻す」ために必要とされる労力を数値化する場合が多い。具体的には、復旧にかかる金額や時間を数値化することになる。
| 表3:リスク値一覧表 |
 |
「発生の可能性」については、業務上の経験や統計データ、外部の専門家から提供されるデータに基づいて決定する。表2にその判断基準を3つに区分した場合の例を示した。
このようにして、資産価値、リスクが顕在化した場合の影響度、発生の可能性のそれぞれの組み合わせから算出したリスク値の一覧表が表3である。
ステップ4:リスク対応(軽減・受容・回避・移転)
セキュリティを考えるうえで重要なことは、いかに対策を施したとしても決してリスクは「ゼロ」にはならないということである。そのため、リスクにどう対応していくかという戦略を立てることが要求される。リスク対応には、主に以下の4つが挙げられる。
| 図3:リスク対応イメージ
|
 |
- 軽減:「リスクが顕在化した場合の影響度」と「発生の確率」を減らすための対策を施す
- 受容:「リスクが顕在化した場合の影響度」と「発生の確率」が共に低い場合には、「何もしない」という選択肢をとることもある
- 回避:「リスクが顕在化した場合の影響度」と「発生の確率」が共に高い場合には、その資産を売却することや当該事業からの撤退を検討する
- 移転:損失発生時の保証条項を契約に盛り込むことや情報セキュリティ保険などに入ることもある
それぞれのリスクについて、どの対応が適切であるかを見極めることは困難である。そのため、リスクが顕在化した場合の影響度と発生の確率、リスク対応の関係を図3のようにイメージ化し、判断の際に参考にする。
リスク対応として軽減を選択したものについては、リスク値を下げるための具体的な対応を決定していくことになる。リスク・アセスメントの一連のステップを行ったリスク・アセスメント結果一覧のサンプルを表4に示しておく。
| 表4:リスク・アセスメント結果一覧 |
 |
このようにして策定したポリシーや対応は、自社の状況や環境に合わせて定期的に見直すことが大切である。セキュリティは何らかの措置を一度施せば解決するものではない。図4に示すようなPDCAサイクルにより、絶えず発生する新しいリスクを発見し、継続的に対処し続けることが唯一の方法である。
| 図4:PDCAモデルによるISMSプロセス |
 |
次に、このような手順の下で、筆者がポリシーの策定/修正にかかわった英国企業の事例を見ていきたい。
