 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 | ||||||||||
|
||||||||||
| 「セキュリティ・アーキテクチャ」の効用 | ||||||||||
セキュリティ評価モデルをうまく利用するアプローチによって、SAを具体的な方法論として適用することが可能となる。それでは、SAはEAに対してどのような貢献ができるのだろうか。SAを考慮することによって期待されるEAへの効果を整理してみよう。 |
||||||||||
| 大所高所からの情報セキュリティの検討 | ||||||||||
|
情報システムの設計段階から情報セキュリティを考慮することによって、組織のビジネス戦略に整合した情報セキュリティ対策を導入することができる。SAは、従来のEAだけでは手薄であったセキュリティ設計の方法論を与える。また、業務・システム最適化の検討において、技術的な対策だけではなく、運用や人の問題を考慮することで、システム全体のセキュリティマネジメントの構築につながる。 |
||||||||||
| 適正な情報セキュリティ対策投資 | ||||||||||
|
情報セキュリティの管理策を「後付け」することは、結果としてコストの増加を招くことが多い。情報資産の価値に対して最適なセキュリティ投資を行うために、SAの体系的なアプローチが役立つものと考えられる。 |
||||||||||
| PDCAサイクルへの貢献 | ||||||||||
|
情報システムを構築し、運用を開始した後は、セキュリティマネジメントのPDCAサイクルを回していく。問題点を把握し、改善の方向性を導いていくためにも、セキュリティの全体像を規定するSAの役割は大きい。 |
||||||||||
| 「セキュリティ・アーキテクチャ」が与えるもの |
本連載では、2回に渡って、業務・システムの最適化のための方法論であるEAにおいて、情報セキュリティを組み込むためのSAの概念について提唱した。そしてSAの中核であるセキュリティ設計において、ISMS、CCなどのセキュリティ関連国際標準規格をベースとしたセキュリティ評価モデルに基づくアプローチについて紹介した。本アプローチは、セキュリティリスクを評価し、システムの設計の段階からセキュリティを考慮するフレームワークを与えるものとなっている。このように、SAを考慮することで、情報セキュリティ対策の投資対効果の向上をはかることが期待でき、EAの目指す全体最適の実現に寄与すると考える。 最後になるが、みずほ情報総研では、経済産業省が推進するISO/IEC15408(CC)に基づいた「ITセキュリティ評価及び認証制度」の民間企業初の評価機関としてのノウハウを生かし、ITセキュリティ評価のフレームワークをベースとした「セキュリティ評価モデル」をSAのセキュリティ設計の方法論として推進している。 |
|||||||||
|
前のページ 1 2 3 |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
