セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。
第1回「『セキュリティ予算不足』はなぜ解消されないのか? 調査結果から探る」では、グローバル組織と国内組織を対比しながら、セキュリティに対する予算の獲得状況や、十分な予算獲得を阻む要因について概観した。
第2回では「適切なセキュリティ予算」とは具体的に何であり、どのように考えるべきなのかを整理する。第1回に続き、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」(GISS:EY Global Information Security Survey)の最新版(以下、GISS2017-18)の結果を参考にした。
適切なセキュリティ予算とは、適切なセキュリティ対策の導入や運用に必要となるお金のことだ。では「適切なセキュリティ対策」とは何を指すのだろうか。これを考えるには、まず組織が対処すべきセキュリティのリスクについて考える必要がある。具体的には、情報セキュリティマネジメントシステム(ISMS)などのセキュリティガイドラインが提唱する以下の手順を踏むことになる。
それぞれの手順での勘所を説明する。
リスクの特定は、情報資産を洗い出して各資産の管理責任者を特定し、各資産の損失や損害を引き起こす脅威と、各資産に潜む脆弱(ぜいじゃく)性を明確化することを指す。組織は各資産のリスクを特定し、そのリスクに応じたセキュリティ対策を取り、組織が許容できる基準にまでリスクを抑えることになる。
情報資産や、そのリスクの特定は容易ではない。コピーや加工の容易さから情報資産の“亜種”が散在しやすいこと、情報資産の価値が時間とともに変化することが、その主な原因だ。情報資産やリスクを十分に特定できていないと、情報資産の区分によらずにセキュリティ対策を検討しなければならなくなり、セキュリティ予算が膨らむ一因になる。時間軸も加味した上で、情報資産とその価値の変化を精査することが求められる。
リスク分析は、リスクの発生頻度とリスクが顕在化した際の影響度を分析することだ。リスクの発生頻度と影響度は、以下に示す情報セキュリティの3要素「機密性」「完全性」「可用性」のそれぞれに対して定義する。
どのレベルまでのリスクを挙げればよいのか分らないまま、思い付くままリスクを挙げてしまっている例をよく目にする。こうした状況を招かないための対策は、攻撃者を理解することだ。架空の攻撃者像である「ペルソナ」(表)を定義し、各ペルソナについて以下の項目を整理する。ペルソナが明確であれば、考慮すべきリスクが明確になりやすい。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...
インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...
SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...