編集部からのお知らせ
新着の記事まとめ「Emotet」動向

「ダメージコントロール」と「事業継続管理」から検討する情報セキュリティ - (page 3)

吉澤亨史 山田竜司 (編集部)

2017-08-24 07:00

 リソースの可用性が失われるシナリオ、例えば新型インフルエンザのパンデミックや震災などですが、それらに対してはそれぞれ初動対応だけを定義します。

 そのように考えると、セキュリティインシデントもシナリオのひとつとして、初動対応だけを定義すればよさそうに思えます。

 しかし、実はそういうわけにはいきません。例えば、震災対応としてDR(Disaster Recovery)サイトを準備していたとします。確かに震災で主サイトがダウンしたときは、DRサイトに切り替えることで、ITインフラの継続性を確保できる可能性が高いでしょう。

 ところが、セキュリティインシデントの場合は、十分な対策なくDRサイトに切り替えると、DRサイトまで攻撃の影響を受ける可能性があるのです。

 すなわち、セキュリティインシデントに対しても事業継続計画が有効に機能するよう、ダメージコントロールの取り組みと整合するように事業継続管理を運用していく必要があるのです。

ーー世界の動向を見ていて、今後、日本の企業がセキュリティを実施する上で検討すべき点はありますか。

 今回お話したような内容が日本でできていないのは、誰がリスクを所有しているのか、誰がリスクを管理するのか、どのようにリスクを管理するのかといった、リスク管理のフレームワークが定められておらず、機能していないからです。

 これは、EYで実施している「Global Information Security Survey」(GISS)という情報セキュリティの調査結果を見てもよく分かります。

 「会社でセキュリティに責任を持つ方は誰ですか」という質問に対して、グローバルでは最高セキュリティ責任者(CISO)という回答が多い。ところが、日本ではCIOという回答が多いのです。

 また「情報セキュリティに責任を持たれている方はボードメンバー(取締役)ですか」という質問に対しては、グローバルではNoという回答の割合が高い。

 CISOは、ボードの外からけん制するので、必然的にそうなっているのですね。ところが、日本ではCIOが責任を持っていますが、執行側なのでYesいう回答の割合が高くなっています。

 日本では「けん制なんて」という文化があるとは思うのですが、そこはきっちり作る必要があります。

 CIOとCISO、あるいはCEOと最高リスク責任者(CRO)のような、業務を執行する側とけん制する側というフレームワークを、世界の標準を見ながらしっかり定義していく必要があるでしょう。

 そういうことを今後2、3年でやっていく必要があると考えています。


3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成

(了)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]