効果を測定するための基準はそれぞれの企業により異なりますが、事故が発生したかどうかが基準にはなっていません。事故がゼロであることが重要なのではなく、事故が発生してもその影響を受けていないことが重要なのです。
こういった状況を把握するためには、企業が所有するPCやサーバ、スマートフォンなどの携帯端末、ネットワーク装置などのデバイスを管理する必要があります。これがITガバナンス、セキュリティガバナンスの肝です。
すべてを把握するために機器のログファイルを見れば良いじゃないかという声も聞こえてきそうですが、残念ながらログを解析するスピードで事故を検知していては、被害を最小限にすることはできないのです。損害を最小限に抑えるためには、事故が発生してからいかに短時間で事故発生に気づき、対応できるかが重要なのです。
ネットワークにつながっていることが、むしろセキュリティを確保するための前提であることが現状です。
ネットワールドにつなぐべきかどうかの判断
インターネットに接続される家電なども、多くの場合はOSやその上で動作するソフトウェアを搭載していますので、そのぜい弱性を狙われてしまうことがあります。
これらの機器はネットワークに接続していることを前提として設計されているために、OSやソフトウェアのアップデートはインターネット経由です。つまり、セキュリティを確保するためには一時的にせよ、ネットワークに接続する必要があります。
そこで、どのようなデバイスはインターネットに接続してもよいのかについて、検討してみましょう。まず、情報セキュリティの前提について再確認します。私は「事故が発生するかではなく、影響をなくすことが重要」だと前述しました。これが情報セキュリティの本来の目的です。
ただし、事故の影響をゼロにすることは容易ではありません。自らが受け入れることができるレベルまで影響を低減できるかがポイントとなります。これを情報セキュリティでは「リスク受容レベル」と呼んでいます。リスク受容レベルを設定せずにセキュリティ対策を検討することはできません。
後編では、どのような事故であれば受け入れることができるのかを明確にし、それに対応するようなリスクを有していないかを判断する方法を解説します。
- 河野省二
- 株式会社ディアイティ セキュリティサービス事業部 副事業部長 経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。