PR

資産は何か?守るべき場所はどこか?

2009年2月5日(木)
佐藤 元彦

カタストロフィー(大崩壊)を防げ(ウィークポイント)

 その資産が外部に出た場合、組織の維持に大きな影響を及ぼすような重要資産とは別に、定義をしなければならない資産があります。それは「被害を受けやすい」場所です。被害を受けやすい場所は、例えば、外部と内部との接点となっている個所で、図3のようなものがあります。

 これらの資産/プロセス(ここでは「ウィークポイント」と名づけます)は、外部からの脅威にさらされたり、内部で不正に扱われたり、資産がコントロールできない状態に置かれる可能性があります。同時に、このようなウィークポイントは、いつも使える状態にあること(可用性)を担保しないと、ビジネスに大きな影響を及ぼすプロセスも多く内包しています。

 例えば、ペリメータ(境界)ネットワークにあるSMTPサーバーの安定稼働は、外部とのビジネスを電子メールで行うことが当たり前になった昨今では、円滑な稼働そのものが資産と考えられています。そのため、ウィークポイントにおける事故は、ビジネスに大きな影響を及ぼすことがある組織には、起こってほしくない事故となります(もちろん、外部に接していることで、評判・風聞など、レピュテーションリスクの原因になることも考えられます)。

ようやく準備は整った

 重要資産の洗い出しとウィークポイントの定義の2つの作業をすることで、最優先で守らなければならないシステム内の資産と、最優先で守らなければならないシステムが明らかになります。ようやく、これでセキュリティー対策に対する悩みを解決できるスタート地点に立てたと言えます。

 セキュリティーに投資できる資源は有限です。その有限の資産を、どこに集中させるべきなのかがわかったことは、大きな前進と言えます。

 さて、今回の記事では、全体感の概要説明と、「何を」という部分を明確にするための「重要情報」と「ウィークポイント」の洗い出しについて紹介しました。第2回では、「何からどこを」という部分に該当する「脅威」と「脆弱性」を洗い出すための具体的な手法を、第3回では、「どのように」という部分に該当する「管理策」を適用するための具体的な手法を紹介します。

 最終回では、セキュリティーを安定して維持するために、変化し続けるセキュリティーリスクにどのように対応していくべきか、セキュリティー運用のポイントを明らかにします。

 ゴールまで、長い連載となりますが次回以降もお付き合いください。

[参考文献]
情報セキュリティ監査制度(http://www.jasa.jp/kansa/jyoho.html)(アクセス:2009年1月)

Best Practices for Website Vulnerability Management(http://www.whitehatsec.com/home/solutions/bestpractices.html)(アクセス:2009年1月)

不正競争防止法(http://law.e-gov.go.jp/htmldata/H05/H05HO047.html)アクセス:2009年1月)

個人情報保護法令(http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html)アクセス:2009年1月)

About the PCI Data Security Standard (PCI DSS)(https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml)アクセス:2009年1月)

伊藤忠テクノソリューションズ株式会社
ITサービスコンサルティング部。
特定非営利活動法人 日本セキュリティ監査協会(JASA)幹事。ISSA Tokyo Chapter Recording Secretary。公認情報セキュリティ監査人、公認システム監査人、システム監査技術者、情報セキュリティアドミニストレータ。2003年から、情報セキュリティサービスを、公共・民間問わず、さまざまな形式で実施。2006年より現職。現在は、情報セキュリティ監査をメインに、ITリスクに対応するマネジメント・テクニカルサービスを提供している。所属学会(国内):情報ネットワーク法学会、情報処理学会、日本セキュリティ・マネジメント学会(JSSM)。 http://www.ctc-g.co.jp/

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています

資産は何か?守るべき場所はどこか? | Think IT(シンクイット)

Think IT(シンクイット)

サイトに予期せぬエラーが起こりました。しばらくたってから再度お試しください。