セキュリティガバナンスとコストの考え方 - (page 2)

河野省二(ディアイティ)

2014-06-04 07:30

 ISMSで情報セキュリティを「情報資産のセキュリティ」としているのは、情報資産を洗い出しそれをベースにリスクアセスメントを設定し対策を実施するためです。資産がどこにあるかを把握することがISMSで設定できるガバナンスであると考えてもよいでしょう。資産が増えれば増えるほど考慮事項もコストも増大します。


情報資産に対する評価シート

 情報セキュリティコストを削減するためには、情報資産を増やさないことです。もちろん、事故の発生は情報資産のぜい弱性に起因するため、情報資産が少ないほうが事故の発生が起きにくいということになります。

 ではここで、メールのやりとりについて情報セキュリティを考えてみて下さい。この問題を検討することで、情報セキュリティ目線での業務改革や、コストをかけないセキュリティ対策を実施することが可能になります。

 課長が社内情報収集のために「入力テンプレート」を表計算アプリで作成し、スタッフ5人にメールで配布しました。スタッフがこれに記入して、メールで課長に返送した場合、添付書類は全部でいくつになるでしょうか。

 メール利用は日常的ですが、添付書類がどのような形で運用されているかについて正しく理解できている人はそれほど多くありません。つまり、情報資産が把握できておらず、ガバナンスが欠如していることになります。情報資産の保護責任は企業ではなく、情報資産オーナーにありますから、それを把握しておく必要があります。

 では、以下の図を使って検討してみましょう。


電子メールを利用したファイルのやりとりにおけるファイル数の増大

 まずは課長がPCでテンプレートを作成するので、そこで1つ。これをメールで送るので送信箱にコピーが1つで合計2つ。部下の受信箱にそれぞれ入って5つ増えるので合計7つ、同様に部下のPC、記入されたファイルが送信されて送信箱にそれぞれ5つ、で合計17個。これを課長が受けて、さらにPCにダウンロードして合計27個です。もしもメーリングリストなら、参加者により、100個程度になる可能性もあります。

 たった1往復のメールのやり取りで27倍にもなってしまうことを考えると、電子メールを利用した情報交換がいかに情報セキュリティコストを増加させるかがわかります。しかし、多くの企業ではこの事実に気がついていないか、気がついていても放置しています。つまりガバナンスが効いていないということです。

 ガバナンスという点で言えば、情報オーナーである課長の管理できる範囲についてはどうでしょうか。この図で課長がアクセスできる範囲はどこまででしょう。もちろん課長のPCの中だけです。3から17までの15個のファイルは部下のPCの中にあるのでアクセスすることができません。その状態を把握するためには何らかのコストがかかります。部下の自己申告ということであれば、その信頼性についても検討が必要です。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]