資産は何か?守るべき場所はどこか?

2009年2月5日(木)
佐藤 元彦

カタストロフィー(大崩壊)を防げ(ウィークポイント)

 その資産が外部に出た場合、組織の維持に大きな影響を及ぼすような重要資産とは別に、定義をしなければならない資産があります。それは「被害を受けやすい」場所です。被害を受けやすい場所は、例えば、外部と内部との接点となっている個所で、図3のようなものがあります。

 これらの資産/プロセス(ここでは「ウィークポイント」と名づけます)は、外部からの脅威にさらされたり、内部で不正に扱われたり、資産がコントロールできない状態に置かれる可能性があります。同時に、このようなウィークポイントは、いつも使える状態にあること(可用性)を担保しないと、ビジネスに大きな影響を及ぼすプロセスも多く内包しています。

 例えば、ペリメータ(境界)ネットワークにあるSMTPサーバーの安定稼働は、外部とのビジネスを電子メールで行うことが当たり前になった昨今では、円滑な稼働そのものが資産と考えられています。そのため、ウィークポイントにおける事故は、ビジネスに大きな影響を及ぼすことがある組織には、起こってほしくない事故となります(もちろん、外部に接していることで、評判・風聞など、レピュテーションリスクの原因になることも考えられます)。

ようやく準備は整った

 重要資産の洗い出しとウィークポイントの定義の2つの作業をすることで、最優先で守らなければならないシステム内の資産と、最優先で守らなければならないシステムが明らかになります。ようやく、これでセキュリティー対策に対する悩みを解決できるスタート地点に立てたと言えます。

 セキュリティーに投資できる資源は有限です。その有限の資産を、どこに集中させるべきなのかがわかったことは、大きな前進と言えます。

 さて、今回の記事では、全体感の概要説明と、「何を」という部分を明確にするための「重要情報」と「ウィークポイント」の洗い出しについて紹介しました。第2回では、「何からどこを」という部分に該当する「脅威」と「脆弱性」を洗い出すための具体的な手法を、第3回では、「どのように」という部分に該当する「管理策」を適用するための具体的な手法を紹介します。

 最終回では、セキュリティーを安定して維持するために、変化し続けるセキュリティーリスクにどのように対応していくべきか、セキュリティー運用のポイントを明らかにします。

 ゴールまで、長い連載となりますが次回以降もお付き合いください。

[参考文献]
情報セキュリティ監査制度(http://www.jasa.jp/kansa/jyoho.html)(アクセス:2009年1月)

Best Practices for Website Vulnerability Management(http://www.whitehatsec.com/home/solutions/bestpractices.html)(アクセス:2009年1月)

不正競争防止法(http://law.e-gov.go.jp/htmldata/H05/H05HO047.html)アクセス:2009年1月)

個人情報保護法令(http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html)アクセス:2009年1月)

About the PCI Data Security Standard (PCI DSS)(https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml)アクセス:2009年1月)

伊藤忠テクノソリューションズ株式会社
ITサービスコンサルティング部。
特定非営利活動法人 日本セキュリティ監査協会(JASA)幹事。ISSA Tokyo Chapter Recording Secretary。公認情報セキュリティ監査人、公認システム監査人、システム監査技術者、情報セキュリティアドミニストレータ。2003年から、情報セキュリティサービスを、公共・民間問わず、さまざまな形式で実施。2006年より現職。現在は、情報セキュリティ監査をメインに、ITリスクに対応するマネジメント・テクニカルサービスを提供している。所属学会(国内):情報ネットワーク法学会、情報処理学会、日本セキュリティ・マネジメント学会(JSSM)。 http://www.ctc-g.co.jp/

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています