自社の情報資産を保護するためには、何らかのリスク評価を実施するべきだ。中堅企業向けの簡易版リスク評価プロセスを紹介する。
リスク評価それ自体はもちろんのこと、リスク評価フレームワークのコンセプトでさえも中堅企業にとっては不要だと思っているかもしれない。しかしリスクを評価するというコンセプトは、あらゆる規模の企業にとってITセキュリティの核となるものだ。自社の情報資産を保護することに関心を抱いている中堅企業(言い換えればあらゆる中堅企業)は、何らかのリスク評価を実施する必要がある。たとえそれが、少人数のスタッフ向けに作成された簡易型フレームワークだとしてもだ。
うれしいことに、リスク評価フレームワークは無料だ。Webから容易にダウンロードし、自由に印刷して検討できる。これらは難解な文書で、コンサルタントの助けを借りなければリスク評価フレームワークを導入できないと思うかもしれないが、実際には必ずしもそうではない。どれほど複雑なフレームワークであっても、中堅企業が導入できる形に簡素化するためのベストプラクティスが存在するからだ。
リスク評価の目標は、ITインフラの各要素におけるITセキュリティリスクに優先順位を付けることだ。リスクの優先順位がなければ、企業は最大のリスクに対するコントロールに必要な予算を効果的に割り振ることができない。その結果、過大なコントロールや不必要なコントロールに費用を掛け過ぎたり、それとは逆に、悪質な攻撃にさらされているシステムを放置するといったことになってしまうのだ。予算に制約がある中堅企業にとって最大の問題はコストだ。経営幹部にとって高価に思えたり、難解に感じられたりするセキュリティシステムの場合は、なおさらそうだ。
また、リスクの優先順位付けを行うことにより、不正利用や攻撃のリスクが低いシステムはどれかを特定して過度のセキュリティ対策を避ける一方で、高いリスクにさらされ、強力な防御を必要とするシステムを特定できる。リスク評価フレームワークは何種類か存在するが、業界ベンチマークはNIST(米国立標準技術研究所)から提供されている。
NISTが発行している「Special Publication 800-100, Information Security Handbook: A Guide for Managers」には、リスク評価プロセスにおける4つのステップが示されている。SP800-100を基本とした中堅企業向けの簡易版リスク評価プロセスを以下に記す。
Copyright © ITmedia, Inc. All Rights Reserved.
国内のITサービス市場が堅調に伸びている一方、その推進役を担うIT人材の不足が深刻化しつつある。この問題によって、特に多拠点/多店舗を展開する企業の多くが、自社のネットワーク運用においてさまざまな課題に直面しているという。
管理職の対話型マネジメントによる組織力の活性化を目的に、「1on1」を導入する企業が増えている。しかし、さまざまな課題も浮上している。最先端のAI技術で、客観的に1on1を分析し、PDCAを回して改善ができる1on1支援ツールを紹介する。
社内のセキュリティ意識を高めるために欠かせないセキュリティ教育。効果的な教育を行うには、年間を通じた計画を立てることが必要だ。本資料では、その具体的なアプローチとともに、セキュリティ教育を自動で実現するサービスを紹介する。
プライバシー保護に関する規制が厳格化する中、データの収集・活用における戦略の見直しが進められている。規制対応のガイドラインとして、求められる対策やファーストパーティーデータ活用時の留意事項などを解説する。
昨今、多くの組織が、商用サイトなどに来訪するユーザーのプライバシーデータの取り扱いや、その法令順守について戦略の見直しを迫られている。ガバナンスを確保しながらデジタルマーケティングや顧客向けビジネスを推進する方法を探る。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...