 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||
|
||||||||||
| 資産利用者の拡大 | ||||||||||
|
アウトソーサーに譲渡したIT資産の利用範囲を、譲渡したユーザ企業以外に拡大することで、1ユーザ企業あたりの負担を削減することが可能となる。典型的には、アウトソーサーが、譲り受けたIT資産(主に、ソフトウェア)をASP(Application Service Provider)事業に用いるケースである。 この他、アウトソーシングする以前に、未稼働部分があったり稼働率に余裕がある大型のハードウェアなどを用いてアウトソーシングを実施することにより、こうした余剰資源を他のユーザ企業向けに有効活用することができる。 こうすることで、譲渡元のユーザ企業のコスト負担額が軽減される。余剰スペースを抱えていたデータセンターをアウトソーサーに譲渡する場合も、同様のコスト削減効果が期待される。 |
||||||||||
| 情報セキュリティ対策の考え方 | ||||||||||
|
情報セキュリティ対策は、「情報資産の機密性/完全性/可用性を脅かすリスク(脅威)に対して、検討され施される」ものである。対策には「情報技術」によるもの、すなわちなんらかのシステム機能を用いたものと、「設備」によるもの、すなわち物理的な施設に施されるものがある。 しかし、この2つだけに頼るとコストが高くなりがちである。また、業務の利便性が損なわれる可能性もある。こうしたことから、3つ目に「ルールや人」による対策で代替し補完することが考えられる。この3者の組み合わせ方は、「リスクの大きさ」「対策に要するコスト」「運用可能性のバランス」を踏まえて検討される必要がある(図2)。  図2:情報資産を取り巻く脅威とその対策 (画像をクリックすると別ウィンドウに拡大図を表示します) 情報セキュリティ対策は、さらに別の観点から、分類を行うことができる。すなわち、「予防的対策」「発見的対策」「対処的対策」という3つの分類がこれにあたる。このうち「予防的対策」とは、リスクの発生そのものを抑制・防止するための対策である。 しかし、100%の予防は不可能である。そのためにいち早く、もしくは確実にリスクやセキュリティ事件・事故を検知するための対策が必要であり、その対策が「発見的対策」である。さらに万一に事件などが発生した場合には、その被害を最小限にとどめ、被害からいち早く業務の復旧を果たすための対策が必要である。それが「対処的対策」である。 予防的対策だけに重点を置くのでは、万が一の時に適切な対策ができない。発見的対策および対処的対策もあわせて用意する、いわば3段構えの対策が必要である。整理すると情報セキュリティ対策は次のような評価が必要である。
表1:情報セキュリティ対策の評価に必要な観点
そしてさらに重要となるのが、そうした対策の状況やリスクの状況をたえず見直し、改善をはかる情報セキユリティマネジメントのPDCAサイクルを確立することである。 |
||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
