サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ISMS運用|「情報セキュリティリスク対応計画」の考え方



前回までの連載記事で、ISO27001のリスクアセスメントを行い、必要な管理策を決定する部分までお伝えいたしました。
ISMS最大の課題「管理策の考え方」

でも決定したとはいえ、必要な管理策が“既に実施していること”や、“すぐに実施できるもの”だけとは限りませんよね。時間やお金などのコストが発生する類のものであれば、管理策実施までの計画を立て、しっかり管理していかなければなりません。

そこで今回は、管理策実施までの具体的計画「対応計画」についてお話していきたいと思います。

情報セキュリティリスク対応計画とは

まず、よくある誤解の一つに「情報セキュリティリスク対応計画は、できるだけ“ゼロ”にしなければならない」というものがあります。

これは、「審査の際に突っ込まれるのがイヤなので、無ければ詳しく見られないだろう」という意識から来ているものと考えられますが、真っ当な審査員の視点からすれば全くの逆です。なぜなら、情報セキュリティの確保は“常に新しいリスクとの戦い”だからです。

新しいリスクへ対応し続けるための“計画”

新しいリスクが出てしまった場合、それを防ぐだけの対策を計画しなければなりません。しかし、きちんと対応する為には、時間もお金もかかります。

例えば、「標的型メール」への管理策を計画するとします。現在の標的型攻撃は巧妙です。ユーザーや内部の人間、取引先を装い、受け取った人が「ちょっと怪しいかもしれない…」と思っても、“開封せざるを得ない”ような状況を作り出します。現実的に考えて、年金機構の事件で用いられたような巧妙な標的型メールの開封を“ゼロ”することは、まず不可能でしょう。

目的は被害を最小限に留めること

つまり、真の解決の為には、誰かが開封することを前提として、

  • 開封しても被害を防げる
  • 被害を最小限に留める

ことを目指します。多層化防御による被害の限定化や、秘密分散保管による非機密情報化など、考えられる対策は多数挙げられるでしょう。

しかし、こういう対策には時間もお金もかかります。ですので、「本当はやりたいけど、今すぐは無理だから“いつまでに・誰が”対応するようにしよう!」といった内容の「情報セキュリティリスク対応計画」が必要となるのです。

目的を誤解しては危険

序盤でお伝えした「情報セキュリティリスク対応計画はできるかぎり“ゼロ”にしなければならない」との誤解をしたままの企業では、対応計画を“すぐ完了できるもの”にしたいが為に、簡単な社員教育のみで終わらせてしまうケースも見受けられます。

そして、実際にサイバー攻撃を受け感染してしまうと“開封した従業員が悪い”などといった責任転嫁が行われるのです。本来は、根本的な解決にならない管理策を選択した会社側の責任なのです。(実際のところ、標的型メールのテストを行った際に開封率が一番高いのは“役員”だったりするのですが…笑)

対応計画は堂々と出すべきもの

「情報セキュリティリスク対応計画」の意味を理解し正しく作っていれば、ゼロになることは多くないはずです。

毎年のように大きなセキュリティ問題が発生している中、資金も人材も用意できる大企業でもなければ、そう簡単にリスク対応が出来るわけがないのです。ですから、セキュリティ対策に“真面目”に取り組む企業であれば、何らかの対応計画は“あるのが普通”です。堂々と「情報セキュリティリスク対応計画」を出しましょう。

情報セキュリティ対応計画のポイント

ここまでで「情報セキュリティリスク対応計画」は“あるべきもの”ということがご理解頂けたかと思います。

では次に、考慮すべきポイントについてです。情報セキュリティ対応計画は、次の6項目についての計画を指します。

  1. いつまでにやるか
  2. 誰がやるか
  3. 資源は何が必要か(費用も含め)
  4. 何をもって計画完了と評価するか
  5. 誰が完了と判断するか
  6. 計画実施により他の管理策に影響は無いか

基本的に「情報セキュリティ目的」と同様の項目です。

※そりゃそうです。「情報セキュリティ方針」や「情報セキュリティ目的」を達成するために「情報セキュリティリスク対応計画」があるのですから。

まとめ

常に世の中のセキュリティ情報を収集し、必要な対策を検討していく。そうすれば自然と「情報セキュリティ対応計画」は作られるはずです。

例えば、独立行政法人情報処理推進機構(IPA)では、毎年「十大セキュリティインシデント」として、一年間で話題となった情報セキュリティ事件を発表しています。それら全てに対応が必要とは限りませんが、対応が必要かどうかの検討だけはやっておく必要があります。場合によっては既に対策が済んでいることもあるでしょう。

そして、日々の現場での行動がトップまで報告されているか?についても注意が必要です。連載で何度もお伝えしていますが、ISMSは“マネジメントシステム”です。最終的な判断をトップが行うためのシステムです。だからこそ、情報セキュリティに関する現場の行動がしっかりトップまで届くように、「情報セキュリティ対応計画」を作成しておくことが重要です。組織全体のセキュリティレベルの向上につながります。

次回は、マネジメントシステムの“チェック&アクション”である「内部監査」と「マネジメントレビュー」について解説します。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。