資産は何か？守るべき場所はどこか？

カタストロフィー（大崩壊）を防げ（ウィークポイント）

　その資産が外部に出た場合、組織の維持に大きな影響を及ぼすような重要資産とは別に、定義をしなければならない資産があります。それは「被害を受けやすい」場所です。被害を受けやすい場所は、例えば、外部と内部との接点となっている個所で、図3のようなものがあります。

　これらの資産／プロセス（ここでは「ウィークポイント」と名づけます）は、外部からの脅威にさらされたり、内部で不正に扱われたり、資産がコントロールできない状態に置かれる可能性があります。同時に、このようなウィークポイントは、いつも使える状態にあること（可用性）を担保しないと、ビジネスに大きな影響を及ぼすプロセスも多く内包しています。

　例えば、ペリメータ（境界）ネットワークにあるSMTPサーバーの安定稼働は、外部とのビジネスを電子メールで行うことが当たり前になった昨今では、円滑な稼働そのものが資産と考えられています。そのため、ウィークポイントにおける事故は、ビジネスに大きな影響を及ぼすことがある組織には、起こってほしくない事故となります（もちろん、外部に接していることで、評判・風聞など、レピュテーションリスクの原因になることも考えられます）。

ようやく準備は整った

　重要資産の洗い出しとウィークポイントの定義の2つの作業をすることで、最優先で守らなければならないシステム内の資産と、最優先で守らなければならないシステムが明らかになります。ようやく、これでセキュリティー対策に対する悩みを解決できるスタート地点に立てたと言えます。

　セキュリティーに投資できる資源は有限です。その有限の資産を、どこに集中させるべきなのかがわかったことは、大きな前進と言えます。

　さて、今回の記事では、全体感の概要説明と、「何を」という部分を明確にするための「重要情報」と「ウィークポイント」の洗い出しについて紹介しました。第2回では、「何からどこを」という部分に該当する「脅威」と「脆弱性」を洗い出すための具体的な手法を、第3回では、「どのように」という部分に該当する「管理策」を適用するための具体的な手法を紹介します。

　最終回では、セキュリティーを安定して維持するために、変化し続けるセキュリティーリスクにどのように対応していくべきか、セキュリティー運用のポイントを明らかにします。

　ゴールまで、長い連載となりますが次回以降もお付き合いください。

[参考文献]
情報セキュリティ監査制度（http://www.jasa.jp/kansa/jyoho.html）（アクセス：2009年1月）

Best Practices for Website Vulnerability Management（http://www.whitehatsec.com/home/solutions/bestpractices.html）（アクセス：2009年1月）

不正競争防止法（http://law.e-gov.go.jp/htmldata/H05/H05HO047.html）アクセス：2009年1月）

個人情報保護法令（http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html）アクセス：2009年1月）

About the PCI Data Security Standard (PCI DSS)（https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml）アクセス：2009年1月）