TOP情報セキュリティ> 【セキュリティ最前線】失敗から学ぶセキュリティポリシー> 第4回:やってはいけないを未然に防ぐポイント! (1/3)




【セキュリティ最前線】失敗から学ぶセキュリティポリシー

【セキュリティ最前線】
失敗から学ぶセキュリティポリシー

第4回:やってはいけないを未然に防ぐポイント!

著者:NTTデータ・セキュリティ 茅野 耕治

公開日:2008/1/31(木)

大切なのはバランス

前回までに、「第2回:セキュリティ推進担当側が陥り易いワナ」と、「第3回:現場が勘違いしやすいポイント」について解説してきた。現場の実情を反映していないポリシーや、リスクに気付かずにポリシーの逸脱をしてしまうケースは、現実によく目にする事例である。

ではこれら2つの共通点は何だろうか。

現場の実情を反映していないケースでは、セキュリティ推進担当側の思いが強すぎて何でも禁止にしてしまっていた。現場の都合を優先しすぎるケースでは、現場の声が強すぎてポリシーを反故にしてしまっていた。

つまり、どちらのケースにおいても観点が偏っており、いわゆる「部分最適」に陥っているのである。セキュリティポリシーの策定にあたっては、全社的な観点からそれぞれの立場の担当者が全体最適を目指さなければならない。

セキュリティ推進側にとっては心配の種が尽きないわけで、ありとあらゆる対策を実施しようと考えるのも無理はない。しかしながら、どんなに対策したところでリスクは完全にゼロにはならない。コストとのバランスも考慮して対策を選択すべきなのだが、「受容するリスクを見極められない」ために、どうしても過剰な方向に傾いてしまう。その結果、業務の効率に大きく影響してしまうのである。

図1:業務効率とセキュリティのバランス
図1:業務効率とセキュリティのバランス

リスクを取り違えてはいけない

海外旅行の際、現金ではなくトラベラーズチェックで持っていくようにといわれる。トラベラーズチェックは盗難にあっても再発行することができ、現金に比べて交換レートのよいのが一般的だからである。

しかしながら、国によってはトラベラーズチェックの換金に多くの手数料を取られ、現金の方が交換レートのよい場合もある。盗難時の保険と考えることもできるが、そのような国では現金でないと両替できない場合もあり、使い勝手は明らかに現金の方がよいのである。

盗難にあった時の損害の大きさはわかるが、現金を持っていると触れ回っているわけではないため、実際には脅威の大きさはそれほど変わらない。現金を持っているからといって、直ちに重大な脅威にさらされるわけではないのだ。それより重要なのは、現金やトラベラーズチェックの取り扱い・保管方法に注意することである。

セキュリティポリシーの策定についても同様にリスクとは何かを見極める必要がある。 次のページ




NTTデータ・セキュリティ 茅野 耕治
著者プロフィール
NTTデータ・セキュリティ 茅野 耕治
コンサルティング部
建設会社の設計・施工・情報システム部門を経て、2005年から現職。監査、コンサルティング、セキュリティポリシーの策定支援、セキュリティ教育・研修などの業務に従事。CIA(公認内部監査人)、CFSA(公認金融監査人)、CCSA(内部統制評価指導士)、日本初のCGAP(公認政府監査人)試験合格者、CISSP-ISSJP(行政情報セキュリティ)、PMP、情報処理技術者(システムアナリスト、システム監査、特種、オンライン他)、一級建築士。
http://www.nttdata-sec.co.jp/


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第4回:やってはいけないを未然に防ぐポイント!
大切なのはバランス
  重要なのは情報資産の有効活用とセキュリティの両立
  リスクの範囲を把握するメリット
【セキュリティ最前線】失敗から学ぶセキュリティポリシー
第1回 運用してこそのセキュリティポリシー
第2回 セキュリティ推進担当側が陥り易いワナ
第3回 現場が勘違いしやすいポイント
第4回 やってはいけないを未然に防ぐポイント!
関連記事
企業の社会的責任に必要な情報セキュリティマネジメント
ISMSからみる情報セキュリティ対策