CISOの責務とは何か--経営陣にセキュリティ担当者が加わる意味 - (page 2)

河野省二(ディアイティ)

2016-06-23 07:00

 このような悩みを払拭する1つの解として、日本マイクロソフトが発行したばかりの「マイクロソフト セキュリティガイドブック」が活用できそうです。このガイドラインでは、情報セキュリティ対策の費用対効果を明確にするためのさまざまな考え方が提供されています。

 費用対効果というと難しいと思われるかもしれませんが、簡単に言えば「情報セキュリティ対策をどこまでやればいいのか」ということです。

 サイバーセキュリティ経営ガイドラインでは、経営者にセキュリティ意識を持ってもらうことで情報セキュリティを経営に取り込んでもらおうということでした。一方でマイクロソフトのセキュリティガイドブックは情報セキュリティ専門家に経営意識を持ってもらうことで、情報セキュリティを経営に取り込んでもらおうというアプローチのようです。

 どちらがいいということではないのですが、この双方をうまく活用してリスクメネジメントを推進しましょう。

費用対効果から情報セキュリティを「どこまでやるか」を考える

 このガイドブックが紹介している費用対効果の考え方について、ひとつかんたんなワークをやってみましょう。まずは前述のリンクからガイドブックをダウンロードし、3ページの図2を見てください。ここに情報セキュリティをどこまでやればいいのかについて一つの答えが書いてあります。

(図1)リスク受容レベルの設定が重要なポイントとなる
(図1)リスク受容レベルの設定が重要なポイントとなる
(Microsoftセキュリティガイドブックから引用)

 何も対策をしていない状態、または何らかの対策をしている状態で、その事故が発生した場合にどのくらいの被害があるのかを想定します。

 この事例では、情報漏えいの損失が5000万円と想定しています。これは他社がどの程度の費用をかけて対応したのかというデータをもとに想定することができます。自分の環境に近いところの例を参考にしていただいてもよいですし、定量的リスク分析を実施できるスキルを持ったセキュリティコンサルタントに協力してもらいながら実際の被害を算定するのもいいかもしれません。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]