セキュリティ予算が不足しているかどうかは、適切なセキュリティ予算が何かを把握しなければ厳密には判断できない。では「適切なセキュリティ予算」とは、そもそも何なのだろうか。
第1回「『セキュリティ予算不足』はなぜ解消されないのか? 調査結果から探る」では、グローバル組織と国内組織を対比しながら、セキュリティに対する予算の獲得状況や、十分な予算獲得を阻む要因について概観した。
第2回では「適切なセキュリティ予算」とは具体的に何であり、どのように考えるべきなのかを整理する。第1回に続き、グローバルと国内の組織を対象にした情報セキュリティ調査「EYグローバル情報セキュリティサーベイ」(GISS:EY Global Information Security Survey)の最新版(以下、GISS2017-18)の結果を参考にした。
適切なセキュリティ予算とは、適切なセキュリティ対策の導入や運用に必要となるお金のことだ。では「適切なセキュリティ対策」とは何を指すのだろうか。これを考えるには、まず組織が対処すべきセキュリティのリスクについて考える必要がある。具体的には、情報セキュリティマネジメントシステム(ISMS)などのセキュリティガイドラインが提唱する以下の手順を踏むことになる。
それぞれの手順での勘所を説明する。
リスクの特定は、情報資産を洗い出して各資産の管理責任者を特定し、各資産の損失や損害を引き起こす脅威と、各資産に潜む脆弱(ぜいじゃく)性を明確化することを指す。組織は各資産のリスクを特定し、そのリスクに応じたセキュリティ対策を取り、組織が許容できる基準にまでリスクを抑えることになる。
情報資産や、そのリスクの特定は容易ではない。コピーや加工の容易さから情報資産の“亜種”が散在しやすいこと、情報資産の価値が時間とともに変化することが、その主な原因だ。情報資産やリスクを十分に特定できていないと、情報資産の区分によらずにセキュリティ対策を検討しなければならなくなり、セキュリティ予算が膨らむ一因になる。時間軸も加味した上で、情報資産とその価値の変化を精査することが求められる。
リスク分析は、リスクの発生頻度とリスクが顕在化した際の影響度を分析することだ。リスクの発生頻度と影響度は、以下に示す情報セキュリティの3要素「機密性」「完全性」「可用性」のそれぞれに対して定義する。
どのレベルまでのリスクを挙げればよいのか分らないまま、思い付くままリスクを挙げてしまっている例をよく目にする。こうした状況を招かないための対策は、攻撃者を理解することだ。架空の攻撃者像である「ペルソナ」(表)を定義し、各ペルソナについて以下の項目を整理する。ペルソナが明確であれば、考慮すべきリスクが明確になりやすい。
ジェンダーレス消費の実態 男性向けメイクアップ需要が伸長
男性の間で美容に関する意識が高まりを見せています。カタリナ マーケティング ジャパン...
イーロン・マスク氏がユーザーに問いかけた「Vine復活」は良いアイデアか?
イーロン・マスク氏は自身のXアカウントで、ショート動画サービス「Vine」を復活させるべ...
ドコモとサイバーエージェントの共同出資会社がCookie非依存のターゲティング広告配信手法を開発
Prism Partnerは、NTTドコモが提供するファーストパーティデータの活用により、ドコモオ...