セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。
第1回「『セキュリティ予算不足』はなぜ解消されないのか? 調査結果から探る」では、グローバル組織と国内組織を対比しながら、セキュリティに対する予算の獲得状況や、十分な予算獲得を阻む要因について概観した。
第2回では「適切なセキュリティ予算」とは具体的に何であり、どのように考えるべきなのかを整理する。第1回に続き、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」(GISS:EY Global Information Security Survey)の最新版(以下、GISS2017-18)の結果を参考にした。
適切なセキュリティ予算とは、適切なセキュリティ対策の導入や運用に必要となるお金のことだ。では「適切なセキュリティ対策」とは何を指すのだろうか。これを考えるには、まず組織が対処すべきセキュリティのリスクについて考える必要がある。具体的には、情報セキュリティマネジメントシステム(ISMS)などのセキュリティガイドラインが提唱する以下の手順を踏むことになる。
それぞれの手順での勘所を説明する。
リスクの特定は、情報資産を洗い出して各資産の管理責任者を特定し、各資産の損失や損害を引き起こす脅威と、各資産に潜む脆弱(ぜいじゃく)性を明確化することを指す。組織は各資産のリスクを特定し、そのリスクに応じたセキュリティ対策を取り、組織が許容できる基準にまでリスクを抑えることになる。
情報資産や、そのリスクの特定は容易ではない。コピーや加工の容易さから情報資産の“亜種”が散在しやすいこと、情報資産の価値が時間とともに変化することが、その主な原因だ。情報資産やリスクを十分に特定できていないと、情報資産の区分によらずにセキュリティ対策を検討しなければならなくなり、セキュリティ予算が膨らむ一因になる。時間軸も加味した上で、情報資産とその価値の変化を精査することが求められる。
リスク分析は、リスクの発生頻度とリスクが顕在化した際の影響度を分析することだ。リスクの発生頻度と影響度は、以下に示す情報セキュリティの3要素「機密性」「完全性」「可用性」のそれぞれに対して定義する。
どのレベルまでのリスクを挙げればよいのか分らないまま、思い付くままリスクを挙げてしまっている例をよく目にする。こうした状況を招かないための対策は、攻撃者を理解することだ。架空の攻撃者像である「ペルソナ」(表)を定義し、各ペルソナについて以下の項目を整理する。ペルソナが明確であれば、考慮すべきリスクが明確になりやすい。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年2月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
日本テレビの運用型テレビCM「スグリー」、プレミアパートナー企業9社を認定
日本テレビは、テレビCM枠をWebで購入できるサービス「スグリー」のプレミアパートナー9...
ウェルチのCMOが語るリブランディング 脱「ぶどうジュースの会社」なるか?
Welch’s(ウェルチ)が製品の品揃えを拡大する中で、CMOのスコット・ウトケ氏はブランド...