サイバーセキュリティ経営ガイドライン対応の進め方第3回は、重要10項目指示3にある「サイバーセキュリティリスクの把握と実現するセキュリテイレベルを踏まえた目標と計画の策定」について解説していきます。

中でも、守るべき情報を見極める「リスク分析」について考えてみましょう。

「何」を守るのか

「情報は守らねばならない」と、誰しもが認識していることです。

では、会社は自らが持つ全ての情報を守らねばならないのでしょうか。そんなことは現実的には無理ですね。

情報は「全て」に絡みます。会社の住所や電話番号も情報です。社員の名刺は個人情報です。それらを全て完璧に守り切ったら仕事になりません。

会社の持つ情報には、「守らねばならない情報」と「守れなくてもしょうがない情報」があるのです。

では、どこで「守らねばならない情報」と「守れなくてもしょうがない情報」は区切るのでしょう。区切るためには「リスク分析」を行い、“情報の価値”を判断しなければなりません。

リスク分析の観点

リスクとは「起きたら困る」ことです。困る度合で、重要性を評価します。

この時に考慮するのは、以下3つの観点です。

  1. 機密性(漏れないこと)
  2. 完全性(間違っていないこと)
  3. 可用性(使えること)

一般に「情報セキュリティ」と言うと「機密性」ばかりに焦点が行きがちです。もちろん「機密性」は重要ですが、大切なのはそれだけではありません。

3要素すべてが重要

情報が間違っていたらとんでもないことになります。通帳の残高が一桁違っていたら大変ですね。

また、使えなかったら意味がありません。誰しも経験があるでしょうが、頑張って作ったexcelデータが壊れて使えなくなってしまったら呆然としてしまいます。

ということで、この3要素が「喪失した」(漏れた、間違っていた、使えなくなった)場合に、どのような影響が出るのかを考えます。

これにより、「守らなければならない情報」が明確となるのです。

リスク発生の確立は?

次に、そのリスクが発生する確率を考えましょう。「守らなければならない情報」に発生するリスクは様々ありますが、対策をすべきかどうかは、リスクの「発生率」を考慮する必要があります。

例えば、リスク発生の例として「原発」を考えてみます。

原発の事故は悲惨な結果をもたらしました。これは、津波による電源被害で、安全性が「喪失」したことによるものです。

しかし、安全性が「喪失」することは、津波だけではありません。様々なことが考えられます。極端に言えば、隕石がピンポイントで衝突することだってあり得ます。起こる確率はゼロではありません。

とはいえ、隕石衝突の対策は必要でしょうか?地震国・火山国の日本で、地震や噴火の対策を想定しないことは許されないでしょう。「発生率」が高そうですから。

一方、隕石の衝突は、文字通り天文学的な「発生率」です。多くの人は「流石に隕石が当たったら運が悪かったとしか言いようがない」と考えるのではないでしょうか。

このように、リスク対策の必要性は、会社の周囲の多くの人(利害関係者)が、納得するだけの対応を取っているか、で判断していくことになります。

対策は「利害関係者の納得」のため

ここで、前回洗い出した利害関係者が重要な意味を持って来るのです。

サイバーセキュリティの基本方針を作るのにあたり利害関係者を洗い出しました。
継続的成長を目的とした「サイバーセキュリティ経営ガイドライン対応」の進め方

彼らから見て、「守らなければならない情報」に対するリスクが発生しても、許される「発生率」なのかどうかを考えます。

現状が許されるレベルでなければ、何らかの対応が必要でしょう。現状で「これだけやっていてリスクが起きたんじゃしょうがない」と利害関係者に思ってもらえるなら、それ以上の対策をする必要はないでしょう。

守るべき情報、行うべき対策は千差万別

サイバーセキュリティ対策として考えられることは、それこそいくらでもあります。

しかし、それを全てやろうとしたらキリがないですし、機密性・完全性・可用性のバランスも崩れやすくなります。漏らさないことばかり考えていると、使うのが面倒になったりします。情報は使えなければ何の意味もありません。

機密性・完全性・可用性のバランスを考慮しつつ、利害関係者に「ここまでやってるなら安心だね」と信頼されるだけの対策を作り上げる必要があります。

これが、重要10項目の指示3での望ましい対応です。ここが一番大変かも知れません。「何をやればいいんだ」という質問に対し「各社により様々です」としか言いようが無い部分なので。

ただし、考え方のキーになるのは「利害関係者の納得」です。有事の際、申し開きが出来るかどうかを判断基準にすると良いでしょう。

次回は、指示4「サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示」から説明して行きます。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。