編集部からのお知らせ
EDRの記事まとめダウンロードはこちら
電子契約の記事まとめDLはこちら

リスクを減らすマネジメント--情報セキュリティの適正価格を考える - (page 3)

吉澤亨史 山田竜司 (編集部)

2017-08-22 07:00

リスク自体がなくなる方向に業務を改める

ーーヒューマンエラーを誘ったり、ソーシャルネットワークの手法を使ったりするような攻撃も依然として多いですが、CIOやCISOは何を対策すべきでしょうか。

 人はよく狙われます。もはや人を狙うのがコストが一番安いからです。

 サイバー攻撃は「サイバー」という言葉がつくように技術的な側面も強いのですが、その優先順位は低くなっていると感じます。

 「人の脆弱性」はパッチを当てれば治るものではありません。ずっと残り続ける「安定したリスク」なのです。

 日々進化していくサイバー攻撃のような「不安定なリスク」に注意が行きがちですが、人に起因する「安定したリスク」についても、きっちりと対応方針を検討する必要があります。そこで、最優先で検討いただきたいのが「回避」です。

 リスク対応策には「軽減」「移転」「回避」「保有」があることは皆さんご存知かと思いますが、意外に「回避」が検討されていない。

 回避は、なにも事業から撤退するというレベルの話だけではなくて、そもそもリスク自体がなくなるように検討するということです。

ーー具体的には、どんなことが考えられそうでしょうか。

 システム的な観点だと、例えば、SDカードや、USBメモリ経由でのマルウェア感染や紛失による情報漏えいを「回避」するため、ノートPCなどのSDカードスロットや、USBスロットは物理的に使えないようにしてしまいます。

 管理的な観点だと、例えば従業員に配布するメールアドレスは本当に必要でしょうか。

 宅配のドライバーや工場の作業員など、職務によってはメールアドレスが必要ないケースもあるかもしれません。社内の連絡は掲示板やその他の手段で代替できるでしょう。

 このようにメールアドレスの付与をやめることで、その従業員が標的型メールを受け取って開封するというリスクを「回避」できます。また、メールアドレスを付与しなければ、標的型メールに関する訓練や教育も不要になります。

 リスクに対応するということはコストがかかるわけですから、リスクをなくせばコストが下げられる。その分、業務が効率化するわけです。

 とにかく「業務をするためには本当に何が必要なのか」というところを突き詰めて、要らないところはどんどん削っていく。削っていくことで、そもそものセキュリティリスクを「なくす」ということを検討する必要があると思います。

 業務を含めて見直すことになりますから、「3つの防衛線モデル」だと、担当は業務執行部門、すなわち第1の防衛線になります。そして、それをCISOやセキュリティ部門といった第2の防衛線がモニタリングして助言や訂正を行う。

 まずはこのフレームワークを確立することがポイントでしょう。


3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成

 <続く>

 

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]