ISMSで情報セキュリティを「情報資産のセキュリティ」としているのは、情報資産を洗い出しそれをベースにリスクアセスメントを設定し対策を実施するためです。資産がどこにあるかを把握することがISMSで設定できるガバナンスであると考えてもよいでしょう。資産が増えれば増えるほど考慮事項もコストも増大します。
情報資産に対する評価シート
情報セキュリティコストを削減するためには、情報資産を増やさないことです。もちろん、事故の発生は情報資産のぜい弱性に起因するため、情報資産が少ないほうが事故の発生が起きにくいということになります。
ではここで、メールのやりとりについて情報セキュリティを考えてみて下さい。この問題を検討することで、情報セキュリティ目線での業務改革や、コストをかけないセキュリティ対策を実施することが可能になります。
課長が社内情報収集のために「入力テンプレート」を表計算アプリで作成し、スタッフ5人にメールで配布しました。スタッフがこれに記入して、メールで課長に返送した場合、添付書類は全部でいくつになるでしょうか。
メール利用は日常的ですが、添付書類がどのような形で運用されているかについて正しく理解できている人はそれほど多くありません。つまり、情報資産が把握できておらず、ガバナンスが欠如していることになります。情報資産の保護責任は企業ではなく、情報資産オーナーにありますから、それを把握しておく必要があります。
では、以下の図を使って検討してみましょう。
電子メールを利用したファイルのやりとりにおけるファイル数の増大
まずは課長がPCでテンプレートを作成するので、そこで1つ。これをメールで送るので送信箱にコピーが1つで合計2つ。部下の受信箱にそれぞれ入って5つ増えるので合計7つ、同様に部下のPC、記入されたファイルが送信されて送信箱にそれぞれ5つ、で合計17個。これを課長が受けて、さらにPCにダウンロードして合計27個です。もしもメーリングリストなら、参加者により、100個程度になる可能性もあります。
たった1往復のメールのやり取りで27倍にもなってしまうことを考えると、電子メールを利用した情報交換がいかに情報セキュリティコストを増加させるかがわかります。しかし、多くの企業ではこの事実に気がついていないか、気がついていても放置しています。つまりガバナンスが効いていないということです。
ガバナンスという点で言えば、情報オーナーである課長の管理できる範囲についてはどうでしょうか。この図で課長がアクセスできる範囲はどこまででしょう。もちろん課長のPCの中だけです。3から17までの15個のファイルは部下のPCの中にあるのでアクセスすることができません。その状態を把握するためには何らかのコストがかかります。部下の自己申告ということであれば、その信頼性についても検討が必要です。