重要なのは情報資産の有効活用とセキュリティの両立

リスクをただ排除するだけのセキュリティポリシーでもいけない。リスクを完全に排除することを考えた時、究極的には何もしないでじっとしているのが一番よい。しかし、それでは業務にならない。先ほどの例でいえば、現金・トラベラーズチェックを一切持たないことになり、旅行に行けないことになる。

つまり、情報資産の有効活用とセキュリティを両立させることが重要なのだ。個人情報保護においても、個人情報を一切持たないのではなく、必要最小限の項目を必要最小限の期間保有するという線引きが必要なのである。リスク防止策だけでなく、抑止策、検知策をバランスよく配置することが大切である。

そのため欠かせないのが「リスク分析を実施してリスクを把握しておくこと」であると述べた。リスクを評価し、全体への貢献度が大きいことから優先的に取り組み、逆に貢献度が小さい項目に手間暇をかけるべきではないとの思いからである。同時に重要なリスクには敏感に気付く必要がある。

図2：RCM（Risk Control Matrix）の例
出典：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス）

リスク分析のすすめ

本格的なリスク分析には、情報資産の洗い出しからはじまり、情報資産の価値、脅威、脆弱性の度合いを評価し、リスクの大きさを算出するという手順が一般的である。しかし実施にかかる工数は相当なものである。筆者としては、最低限のセキュリティ対策とそれをカバーするリスクの範囲との対応を把握しておくことが重要と考えている。SOX対応におけるリスクコントロールマトリックス（RCM）をイメージしてもらうとよい（図2）。

RCMというと大げさにとらえられる方も多いが、簡易なものでかまわない。セキュリティのRCMのアサーション（財務諸表などの正しさをあらわす概念）対象は、機密性・完全性・可用性である。SOXの実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性とは異なるが、その考え方は同じである。統制（コントロール）の状況を把握する上で、RCMは共通言語のようなものであり、これを上手く利用しない手はない。

セキュリティ対策のカバーするリスクの範囲が把握できれば、手厚く対策された部分やカバーできていない範囲が明確になる。重複や効果が見込めない対策があぶり出されてくるかもしれない。そうなれば対策の効率化・優先順位付けの判断がしやすくなるばかりでなく、リスクの範囲が変更になった場合の追加の対策の必要性に気付きやすくなる。

これは、リスクの大きさに応じて優先的に対策を考えるリスクアプローチであり、管理対象に応じてセキュリティ対策の強度を変化させる重点アプローチにもなる。これまで画一的なルールの押し付けはいけないと述べた。それはポリシーとして上手く回らなくなるだけでなく、不経済だからである。対策不足がダメなのは当然だが、オーバーコントロールもいけない。

実際に、認証取得の審査ではオーバーコントロールを指摘してもらえない。そのためオーバーコントロールに気付かず、運用してからポリシーの阻害要因となって顕在化することがある。ISO 27001への改定の過程で有効性の評価が強調されるようになったのは、こういった面を考慮した結果といえるだろう。 次のページ