ISMS運用|「情報セキュリティリスク対応計画」の考え方|サイバーセキュリティ.com

ISMS運用|「情報セキュリティリスク対応計画」の考え方



前回までの連載記事で、ISO27001のリスクアセスメントを行い、必要な管理策を決定する部分までお伝えいたしました。
ISMS最大の課題「管理策の考え方」

でも決定したとはいえ、必要な管理策が“既に実施していること”や、“すぐに実施できるもの”だけとは限りませんよね。時間やお金などのコストが発生する類のものであれば、管理策実施までの計画を立て、しっかり管理していかなければなりません。

そこで今回は、管理策実施までの具体的計画「対応計画」についてお話していきたいと思います。

情報セキュリティリスク対応計画とは

まず、よくある誤解の一つに「情報セキュリティリスク対応計画は、できるだけ“ゼロ”にしなければならない」というものがあります。

これは、「審査の際に突っ込まれるのがイヤなので、無ければ詳しく見られないだろう」という意識から来ているものと考えられますが、真っ当な審査員の視点からすれば全くの逆です。なぜなら、情報セキュリティの確保は“常に新しいリスクとの戦い”だからです。

新しいリスクへ対応し続けるための“計画”

新しいリスクが出てしまった場合、それを防ぐだけの対策を計画しなければなりません。しかし、きちんと対応する為には、時間もお金もかかります。

例えば、「標的型メール」への管理策を計画するとします。現在の標的型攻撃は巧妙です。ユーザーや内部の人間、取引先を装い、受け取った人が「ちょっと怪しいかもしれない…」と思っても、“開封せざるを得ない”ような状況を作り出します。現実的に考えて、年金機構の事件で用いられたような巧妙な標的型メールの開封を“ゼロ”することは、まず不可能でしょう。

目的は被害を最小限に留めること

つまり、真の解決の為には、誰かが開封することを前提として、

  • 開封しても被害を防げる
  • 被害を最小限に留める

ことを目指します。多層化防御による被害の限定化や、秘密分散保管による非機密情報化など、考えられる対策は多数挙げられるでしょう。

しかし、こういう対策には時間もお金もかかります。ですので、「本当はやりたいけど、今すぐは無理だから“いつまでに・誰が”対応するようにしよう!」といった内容の「情報セキュリティリスク対応計画」が必要となるのです。

目的を誤解しては危険

序盤でお伝えした「情報セキュリティリスク対応計画はできるかぎり“ゼロ”にしなければならない」との誤解をしたままの企業では、対応計画を“すぐ完了できるもの”にしたいが為に、簡単な社員教育のみで終わらせてしまうケースも見受けられます。

そして、実際にサイバー攻撃を受け感染してしまうと“開封した従業員が悪い”などといった責任転嫁が行われるのです。本来は、根本的な解決にならない管理策を選択した会社側の責任なのです。(実際のところ、標的型メールのテストを行った際に開封率が一番高いのは“役員”だったりするのですが…笑)

対応計画は堂々と出すべきもの

「情報セキュリティリスク対応計画」の意味を理解し正しく作っていれば、ゼロになることは多くないはずです。

毎年のように大きなセキュリティ問題が発生している中、資金も人材も用意できる大企業でもなければ、そう簡単にリスク対応が出来るわけがないのです。ですから、セキュリティ対策に“真面目”に取り組む企業であれば、何らかの対応計画は“あるのが普通”です。堂々と「情報セキュリティリスク対応計画」を出しましょう。

情報セキュリティ対応計画のポイント

ここまでで「情報セキュリティリスク対応計画」は“あるべきもの”ということがご理解頂けたかと思います。

では次に、考慮すべきポイントについてです。情報セキュリティ対応計画は、次の6項目についての計画を指します。

  1. いつまでにやるか
  2. 誰がやるか
  3. 資源は何が必要か(費用も含め)
  4. 何をもって計画完了と評価するか
  5. 誰が完了と判断するか
  6. 計画実施により他の管理策に影響は無いか

基本的に「情報セキュリティ目的」と同様の項目です。

※そりゃそうです。「情報セキュリティ方針」や「情報セキュリティ目的」を達成するために「情報セキュリティリスク対応計画」があるのですから。

まとめ

常に世の中のセキュリティ情報を収集し、必要な対策を検討していく。そうすれば自然と「情報セキュリティ対応計画」は作られるはずです。

例えば、独立行政法人情報処理推進機構IPA)では、毎年「十大セキュリティインシデント」として、一年間で話題となった情報セキュリティ事件を発表しています。それら全てに対応が必要とは限りませんが、対応が必要かどうかの検討だけはやっておく必要があります。場合によっては既に対策が済んでいることもあるでしょう。

そして、日々の現場での行動がトップまで報告されているか?についても注意が必要です。連載で何度もお伝えしていますが、ISMSは“マネジメントシステム”です。最終的な判断をトップが行うためのシステムです。だからこそ、情報セキュリティに関する現場の行動がしっかりトップまで届くように、「情報セキュリティ対応計画」を作成しておくことが重要です。組織全体のセキュリティレベルの向上につながります。

次回は、マネジメントシステムの“チェック&アクション”である「内部監査」と「マネジメントレビュー」について解説します。


SNSでもご購読できます。