対策が具体的に--IPAの「中小企業の情報セキュリティ対策ガイドライン」を読む - (page 3)

河野省二(ディアイティ)

2016-12-06 07:00

情報セキュリティ対策を確実に実施するために

 情報セキュリティ対策を確実に実施するためには、2つの方法があります。

 まずは、情報を取り扱うシステムにセキュリティを組み込む方法です。しかしながら、すでに導入しているシステムにセキュリティをアドオンするのは多大なコストがかかります。また、システムを作り直すのも同様です。

 そこで、もう一つの方法として手順を明確にして従業員に対策を実施してもらう方法があります。システムの構築に関するコストはかかりませんが、従業員の負担は大きくなります。

 このガイドラインでは、中小企業がコストをかけずに実施できる方法として後者を選択しています。その手順が以下のとおりです。

  1. 情報資産管理台帳を作成する
  2. リスク値の算定
  3. 情報セキュリティ対策を決定
  4. 情報セキュリティポリシーを策定

 この手順そのものが非常にコストがかかるものですが、このガイドラインでは手順を示すことによって、中小企業の担当者でも実行できるように提案しています。また、必要な様式などについても概略を示していますので、自社にあったものを作成してすぐに実行することができます。

よく改善されているが、言葉がわかりにくいところも

 このように、本ガイドラインはサイバーセキュリティ経営ガイドラインに従って構成が見直されているだけではなく、IPAが提供している中小企業向けのツールなどを活用できるよう、より具体性の高いものに変更されました。

 特に良い改善だと考えるのが、機密性、完全性、可用性の考え方です。今までは情報資産の重要性についてばかり考えられていましたが、今回からは事故が起きたときの影響をベースに考えるようになっています。

 情報セキュリティリスクは「事故の発生の可能性」「影響」「リスク受容レベル」によって検討します。本ガイドラインではまだ重要度という言葉が残っていますが、解説を読んでみると「影響の度合い」のことを示しているようですので、内容としては問題ありません。

 事故の発生の可能性についても、被害発生可能性という記載になっていますが、これも実際には被害のことは全く関係なく、事故の発生頻度についてのみ示しているようです。被害の発生しない事故もあるということについて考えて、リスクアセスメントをする必要があるでしょう。

 「情報セキュリティ対策を決定」という手順についても、実際の情報セキュリティマネジメントにおいては誤解を生むかもしれません。本ガイドラインにも記載されているとおり、対策は決定するのではなく、選択するものです。

 情報セキュリティ対策は、リスク受容、低減、移転、回避の4つの視点からいくつもの対策を検討し、その中でよりいいものを選択します。低減できないから移転するというようにふるいにかけていくようなものではなく、それぞれについて検討しつつ、本来の目的である情報およびシステムの活用、説明責任などを果たせるようなものを選んでいくことが、費用対効果の高い情報セキュリティ対策といえます。

PDCAサイクルの考え方

 サイバーセキュリティ経営ガイドラインでは、情報セキュリティマネジメントのフレームワークとしてPDCAサイクルを実践することを推奨していました。本ガイドラインでも同様に扱っています。本ガイドラインではPDCAを以下のように設定しています。

  • Plan:情報セキュリティ対策の計画立案または見直し
  • Do:情報セキュリティ対策の実践
  • Check:監査・点検による活動の有効性確認と経営者による必要な改善箇所の決定
  • Act:改善の実施

 残念ながらこれは正確ではありません。Actは経営者による改善と考えたほうが、現在の情報セキュリティマネジメント、ガバナンスにおいては有効です。Checkの項目に書かれている「経営者による必要な改善箇所の決定」がActであると言えるでしょう。

 PDCAサイクルが注目されるまでは、Plan Do Seeで計画を実行していました。PDSのときには経営者による関与がなかったために、PDCAサイクルが推奨され、経営者への情報集約がひとつの要素になりました。これによって、経営者は外部に対して適切な情報発信ができるだけではなく、内部における改善活動も効果的に実施できるようになったのです。


内部と外部の整合を取るためのPDCAサイクルの活用

 中小企業であっても、サイバーセキュリティガイドラインとともに本ガイドラインともに推奨されているPDCAサイクルを理解し、実行に移すことが必要です。情報セキュリティ対策を適切に実行していることの説明、リソースの確保、IT活用の推進、そして経営者の責任をまっとうするために活用していただきたいと考えます。

 情報セキュリティに関するガイドラインはあくまでガイドラインであり、これらを参考に実行しやすいセキュリティ対策を選択できるようにしましょう。

河野省二
株式会社ディアイティ セキュリティサービス事業部 副事業部長
経済産業省 SaaS 利用者の観点からのセキュリティ要件検討会委員、情報セキュリティガバナンス委員会 ベンチマークWG委員など、 情報セキュリティ関連のさまざまな基準を策定した経験を持つ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]