5段階でできる中堅・中小企業のためのリスク管理米Gawker Mediaの情報流えい事件に学ぶ

予算にもリソースにも限りがある中堅・中小企業がリスク管理計画を立てるために5段階のプロセスを紹介する。

2011年04月28日 09時00分 公開
[Robbie Higgins,TechTarget]

 大企業が直面している情報セキュリティリスクの多くは、中堅・中小企業(SMB)にも共通する。2010年12月に起きた米Gawker Mediaの情報流えい事件(※)は、SMBであっても狙いすました巧妙な攻撃の被害者になり得るという実態を見せつけた。それを念頭に、あらゆる規模の企業がセキュリティリスク評価プロセスに従ってリスクを洗い出し、分類し、回避する必要がある。

(※)「Gizmodo」「Lifehack」などを運営する米国のブログメディア企業Gawker Mediaのサーバハッキング攻撃を受けた事件。同攻撃により同社運営のWebサイトに登録していた100万人以上のユーザーID(メールアドレス)/パスワードが流出した。

 しっかりした情報セキュリティリスク管理計画を立てるために必要な手順を記した良書やホワイトペーパーフレームワーク、方法論はいくらでもある。そうした出版物に加え、組織のITセキュリティリスク評価プロセスを実施して、リスクや損害の程度を測り、場合によっては低減する手助けをしてくれる企業も多数ある。ただ、ほとんどのSMBにとっての問題は、コンサルタントと契約してリスク評価を実施したり、リスク管理計画を立てたりする時間もリソースも資金もないことだ。ではSMBが自らのリスク管理計画を立てるにはどうすればいいのか。以下の手順に従って、自社のIT資産が危険にさらされる恐れがあるかどうかを判断し、その溝を埋めるための計画を立ててほしい。

1. 情報とインフラの範囲を特定する

 第一段階として、自社の環境を構成する情報システムおよびハードウェアとソフトウェアリソースの範囲を特定する。インフラに目を向ける際は、基幹的なシステム(決済、CRM人事、法務、知識リポジトリなど)に着目することが大切だ。データに目を向ける際は、個人を特定できる情報、人事情報、知的財産といった「要注意データ」に着目する。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...