資産は何か?守るべき場所はどこか?
カタストロフィー(大崩壊)を防げ(ウィークポイント)
その資産が外部に出た場合、組織の維持に大きな影響を及ぼすような重要資産とは別に、定義をしなければならない資産があります。それは「被害を受けやすい」場所です。被害を受けやすい場所は、例えば、外部と内部との接点となっている個所で、図3のようなものがあります。
これらの資産/プロセス(ここでは「ウィークポイント」と名づけます)は、外部からの脅威にさらされたり、内部で不正に扱われたり、資産がコントロールできない状態に置かれる可能性があります。同時に、このようなウィークポイントは、いつも使える状態にあること(可用性)を担保しないと、ビジネスに大きな影響を及ぼすプロセスも多く内包しています。
例えば、ペリメータ(境界)ネットワークにあるSMTPサーバーの安定稼働は、外部とのビジネスを電子メールで行うことが当たり前になった昨今では、円滑な稼働そのものが資産と考えられています。そのため、ウィークポイントにおける事故は、ビジネスに大きな影響を及ぼすことがある組織には、起こってほしくない事故となります(もちろん、外部に接していることで、評判・風聞など、レピュテーションリスクの原因になることも考えられます)。
ようやく準備は整った
重要資産の洗い出しとウィークポイントの定義の2つの作業をすることで、最優先で守らなければならないシステム内の資産と、最優先で守らなければならないシステムが明らかになります。ようやく、これでセキュリティー対策に対する悩みを解決できるスタート地点に立てたと言えます。
セキュリティーに投資できる資源は有限です。その有限の資産を、どこに集中させるべきなのかがわかったことは、大きな前進と言えます。
さて、今回の記事では、全体感の概要説明と、「何を」という部分を明確にするための「重要情報」と「ウィークポイント」の洗い出しについて紹介しました。第2回では、「何からどこを」という部分に該当する「脅威」と「脆弱性」を洗い出すための具体的な手法を、第3回では、「どのように」という部分に該当する「管理策」を適用するための具体的な手法を紹介します。
最終回では、セキュリティーを安定して維持するために、変化し続けるセキュリティーリスクにどのように対応していくべきか、セキュリティー運用のポイントを明らかにします。
ゴールまで、長い連載となりますが次回以降もお付き合いください。
[参考文献]
情報セキュリティ監査制度(http://www.jasa.jp/kansa/jyoho.html)(アクセス:2009年1月)
Best Practices for Website Vulnerability Management(http://www.whitehatsec.com/home/solutions/bestpractices.html)(アクセス:2009年1月)
不正競争防止法(http://law.e-gov.go.jp/htmldata/H05/H05HO047.html)アクセス:2009年1月)
個人情報保護法令(http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html)アクセス:2009年1月)
About the PCI Data Security Standard (PCI DSS)(https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml)アクセス:2009年1月)