情報セキュリティ対策の妥当性
「当社に、このセキュリティ機器は必要でしょうか」という相談があります。もちろん、一概に言えるものではありませんが、検討方法には一般的な手順があります。
今回は情報セキュリティ対策の妥当性について整理します。
1.想定される事態
重要な情報が漏洩した場合に最も直接的な被害は、損害賠償を請求されることでしょう。
NDA(秘密保持契約)を締結している取引先の機密情報を、自社の責任で漏洩してしまった場合、契約違反に該当し、事業機会の損失として多額の損害賠償を請求される可能性があります。
大量の個人情報を漏洩してしまった状況が報道されることがあります。その場合、情報漏洩した企業の社会的信用が大きく低下し、売上に影響してしまうことが考えられます。大手ネットサービスの個人情報漏洩に限らず、大量の顧客情報(例えば、ポイントカードや会員カードの情報)を保有する中小サービス業でも同様の事態は容易に想像できます。
情報セキュリティ対策が十分でない場合に発生した事例が「情報セキュリティ10大脅威 」として、毎年IPAが公開しています。私は中小企業の方から情報セキュリティに関する相談を何10件も受けていますが、10大脅威は参考になります。
2. 対策の検討方法
自社にとって適切な情報セキュリティ対策は何か、それに係るコストはどの程度かを判断する手順の1つは、以下のようなものです(下表)。これは、プライバシーマークやISMSの認証でも使われる一般的な手法でもあります。また、同じ手法で、事業規模がそう大きくない中小企業であれば、IPA「中小企業の情報セキュリティ対策ガイドライン」のリスク分析シートを活用することができます。
| 項目 | 説明 | |
| 1 | 情報資産のリストアップ | 企業内で扱っている情報資産を分類して挙げます |
| 2 | リスク評価 | 情報資産ごとに、リスクの大きさと影響を評価します |
| 3 | 対策の検討 | リスクを低減させるための対策を検討します |
(1)情報資産のリストアップ
企業で保有する情報資産を、分類して一覧を作成します。例えば、社員名簿や顧客リスト、受発注伝票などに分類し、それぞれ管理部門や保存媒体、重要度、漏洩発生確率などを記入します。原則として全ての情報が対象ですので、分類が細かすぎるとまとまりませんが、中小企業では数10項目程度に抑えたいところです。
(2) リスク評価
次に、情報資産ごとに、漏洩した場合のリスクを定量化します。つまり、
リスク値 = 情報資産の重要度 x 被害の発生可能性
情報資産の重要度:「機密性」「完全性」「可用性」に照らして評価
被害の発生可能性:情報の保存媒体やアクセス状況などから評価
と分解して算出します。重要度や発生可能性は、例えば、1~3の3段階を定義します。
リスク値(1~9)が大きければ相応の対策が必要、十分小さければ追加の対策は不要となります。
被害の発生可能性では、例えばクラウドストレージに保存されていれば、アカウントの管理方法や社内規定でその取扱い方法が定められているかなどが判断基準になります。
(3)対策の検討
リスク値が高い情報資産については、追加の対策を検討することになります。
対策には、セキュリティ機器を導入や社内規定の見直しなども含まれますが、当然、運用できるものでなければなりません。情報漏洩した場合には、通信ログを参照して原因追及と影響範囲の特定が求められますので、相応の準備が必要です。
上記を鑑み、追加の情報セキュリティ対策を実施する導入費用、運用コスト(運用費用、工数)などを踏まえて、最終的に経営判断として決定します。
セキュリティ機器ベンダに提案されたからと、安易にUTMを導入するのは決してお勧めできません。
3.まとめ
情報セキュリティ対策の検討には相応の手間はかかりますが、情報資産の適切な管理は経営者の責任で必ず行うべきものです。PCやネットが欠かせない現在においては、ほとんどの企業で組織的に向き合うことが求められますので、相応の対策を強くお勧めします。
当事務所の代表は「情報処理安全確保支援士」(以前の「情報セキュリティスペシャリスト」に相当する国家資格)を有しており、中小企業の情報セキュリティ対策を考慮したIT経営を支援しています。
ご興味のある方は、こちらからお願いします。