守るべき情報を見極めるための「リスク分析」とは|サイバーセキュリティ.com

  1. ホーム /
  2. 法令・計画等 /
  3. 守るべき情報を見極めるための「リスク分析」とは
             

守るべき情報を見極めるための「リスク分析」とは



サイバーセキュリティ経営ガイドライン対応の進め方第3回は、重要10項目指示3にある「サイバーセキュリティリスクの把握と実現するセキュリテイレベルを踏まえた目標と計画の策定」について解説していきます。

中でも、守るべき情報を見極める「リスク分析」について考えてみましょう。

「何」を守るのか

「情報は守らねばならない」と、誰しもが認識していることです。では、会社は自らが持つ全ての情報を守らねばならないのでしょうか。そんなことは現実的には無理ですね。

情報は「全て」に絡みます。会社の住所や電話番号も情報です。社員の名刺は個人情報です。それらを全て完璧に守り切ったら仕事になりません。会社の持つ情報には、「守らねばならない情報」と「守れなくてもしょうがない情報」があるのです。

では、どこで「守らねばならない情報」と「守れなくてもしょうがない情報」は区切るのでしょう。区切るためには「リスク分析」を行い、“情報の価値”を判断しなければなりません。

リスク分析の観点

リスクとは「起きたら困る」ことです。困る度合で、重要性を評価します。この時に考慮するのは、以下3つの観点です。

  1. 機密性(漏れないこと)
  2. 完全性(間違っていないこと)
  3. 可用性(使えること)

一般に「情報セキュリティ」と言うと「機密性」ばかりに焦点が行きがちです。もちろん「機密性」は重要ですが、大切なのはそれだけではありません。

三要素すべてが重要

情報が間違っていたらとんでもないことになります。通帳の残高が一桁違っていたら大変ですね。また、使えなかったら意味がありません。誰しも経験があるでしょうが、頑張って作ったexcelデータが壊れて使えなくなってしまったら呆然としてしまいます。

ということで、この三要素が「喪失した」(漏れた、間違っていた、使えなくなった)場合に、どのような影響が出るのかを考えます。これにより、「守らなければならない情報」が明確となるのです。

リスク発生の確立は?

次に、そのリスクが発生する確率を考えましょう。「守らなければならない情報」に発生するリスクは様々ありますが、対策をすべきかどうかは、リスクの「発生率」を考慮する必要があります。

例えば、リスク発生の例として「原発」を考えてみます。原発の事故は悲惨な結果をもたらしました。これは、津波による電源被害で、安全性が「喪失」したことによるものです。

しかし、安全性が「喪失」することは、津波だけではありません。様々なことが考えられます。極端に言えば、隕石がピンポイントで衝突することだってあり得ます。起こる確率はゼロではありません。

とはいえ、隕石衝突の対策は必要でしょうか?地震国・火山国の日本で、地震や噴火の対策を想定しないことは許されないでしょう。「発生率」が高そうですから。

一方、隕石の衝突は、文字通り天文学的な「発生率」です。多くの人は「流石に隕石が当たったら運が悪かったとしか言いようがない」と考えるのではないでしょうか。

このように、リスク対策の必要性は、会社の周囲の多くの人(利害関係者)が、納得するだけの対応を取っているか、で判断していくことになります。

対策は「利害関係者の納得」のため

ここで、前回洗い出した利害関係者が重要な意味を持って来るのです。

サイバーセキュリティの基本方針を作るのにあたり利害関係者を洗い出しました。
継続的成長を目的とした「サイバーセキュリティ経営ガイドライン対応」の進め方

彼らから見て、「守らなければならない情報」に対するリスクが発生しても、許される「発生率」なのかどうかを考えます。

現状が許されるレベルでなければ、何らかの対応が必要でしょう。現状で「これだけやっていてリスクが起きたんじゃしょうがない」と利害関係者に思ってもらえるなら、それ以上の対策をする必要はないでしょう。

守るべき情報、行うべき対策は千差万別

サイバーセキュリティ対策として考えられることは、それこそいくらでもあります。

しかし、それを全てやろうとしたらキリがないですし、機密性・完全性・可用性のバランスも崩れやすくなります。漏らさないことばかり考えていると、使うのが面倒になったりします。情報は使えなければ何の意味もありません。機密性・完全性・可用性のバランスを考慮しつつ、利害関係者に「ここまでやってるなら安心だね」と信頼されるだけの対策を作り上げる必要があります。

これが、重要10項目の指示3での望ましい対応です。ここが一番大変かも知れません。「何をやればいいんだ」という質問に対し「各社により様々です」としか言いようが無い部分なので。

ただし、考え方のキーになるのは「利害関係者の納得」です。有事の際、申し開きが出来るかどうかを判断基準にすると良いでしょう。

次回は、指示4「サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示」から説明して行きます。

関連コラム(あわせて、以下の記事もよく読まれています)

No related posts.

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。