よく情報セキュリティとシステムセキュリティを勘違いされます。

◆ 情報セキュリティ

 組織にとって重要な情報資源を常に安全で効果的に活用できるように維持管理することです

 そのためには、想定される様々な脅威から情報を保護する安全対策を実施しなければなりません。

 そのため、なぜそうするのかという根拠を決定付けるリスク分析(リスクマネジメント)が重要な役割になります。

 このように、 「情報リスクマネジメントをし、情報セキュリティを体系的に管理する」ことにより

 ・ 自社がどのようなビジネスリスクを保有し、

 ・ どのような対策を必要としているか

経営者は理解でき、素早い経営判断と効果的なアクションが可能になります。

◆ システムセキュリティ

一方、システムセキュリティという言葉あります。

 システムセキュリティとは、"ウィルス被害” “改竄(かいざん)” “漏洩(ろうえい)” “侵入”などを

防ぐために実施される各種の物質的な安全対策のことであり、非常に重要な対策ですが、情報セキュリティで

体系的に整理してから対策(システム投資)しなければ投資バランスを欠き、過大投資することになります。

 

具体的なシステムセキュリティ対策には、次のようなシステムが挙げられます。

  ●ファイアウォール     ●不正侵入検知     ●ウィルス対策  ●ログ解析

  ●ワンタイムパスワード    ●シングルサインオン   ●認証システム  ●暗号化  

  ●要塞ホスト         ●改竄検知・復旧    ●認証サーバ   ●PKI

情報資源へのセキュリティ対策は、事後対応型事前対応型に分類できます。

◆ 事後対応型 : 問題が発生してしまった時に、情報資産を保護するために

          緊急で対処する「インシデントレスポンス」です。

 ◆ 事前対応型 : 想定される問題を未然に防ぐための「情報リスクマネジメント」です。

◆ 事後対応型    【 従来のセキュリティ対策 】

 ほとんどは、システム担当者の限られた知識情報をベースにして導入されています。

 このような場合、想定されている脅威やその対策の根拠、全社的な認知が不鮮明になりがちです。

 リスクが明確に規定されていないということは、問題が発生してから状況を理解し、考えなければならない状態に

あるのと同じといえます。

 この場合、事前に確立できるのは体制作りのみです。それでも、問題発生後にどう対処すべきかぐらいは検討され

ているべきです。

 

● インシデントレスポンス(Incident Response)

  体制の確立 - リーダー、担当者を決めておく

  → インシデントの分類 → 検出手段の決定 → 検知した情報を収集・保管

  → インシデントレスポンスの対応を文書化 → インシデントレスポンスへの反映・見直し

 

◆ 事前対応型    【 これからのセキュリティ対策 】

 セキュリティに関する要件が増え、複雑化・複合化し、それにかかるコストも急激に上昇していきます。 

いまや一部担当者の経験則のみで責任をもてる範囲や金額を超えています。

 このような状況に対応するためにも、事前対応型の「情報リスクマネジメントをし、情報セキュリティ管理する」と

いう考え方が必要とされています。 

 これにより

 ・ 自社がどのようなビジネスリスクを保有し、

 ・ どのような対策を必要としているか

経営者は理解でき、素早い経営判断と効果的なアクションが可能になります。

 

● 情報リスクマネジメント(Information Risk Management)とは

  組織に属する情報の価値を掌握して、それを保護する」という考え方をベースにした、

 管理方法に関する方策のことです。以下のステップで整理します。

 

  ◇ リスク・アセスメント(評価)

     → 情報資産の洗い出し - リスク分析 - リスクの識別・評価

  ◇ リスク対応  (回避、最適化、移転、保有)

  ◇ リスク受容  (対応リスク、残留リスク)

  ◇ リスクコミュニケーション  (リスク情報の交換、共有)

 

 ◆ 情報セキュリティ管理(Information Security Management )とは

  セキュリティの運用全般に関する方策のことです。

 

 総合的な情報セキュリティ・マネジメントシステムとして代表的なのが、

ISO27001:ISMS( Information Security Management System )です。

 


 セキュリティ対策のポイント3つ  無理のないところから始めましょう!!

 

◇ コストと効果のバランス

  • セキュリティを導入するとコストがかかる。
  • コストにはセキュリティ対策への投資と、セキュリティソフトの操作時間などの運用コストがある。

  ※ 安全対策コストが情報資産の価値やROIより高すぎる場合、セキュリティ対策を

    講じないという判断もある。

   (ISMSの適用宣言書でコントロールを適用しないと宣言)

 

◇ サービスとセキュリティのバランス

  • 利用者に情報を公開すると企業の活性化につながるが、反面、セキュリティが低下する。

◇ 使い勝手(効率)とセキュリティのバランス

  • セキュリティ対策のために運用手順が煩雑になりすぎると業務に支障が出てしまう。
  • かえって利用者がセキュリティ対策をスキップしてしまうといったようなこともあり得る

ISMS/QMS/RTSMS 専門事務所

(株)コンサルティングファーム

 

  〒060-0013 札幌市中央区北13条西18丁目36-90 

           TEL:070-5048-1227

           受付時間10~17時)

 e-mail; info@isms-consal.jp 

お気軽にご相談ください

お問合せはこちらから

ホームページ作成