情報セキュリティリスクは、サイバー攻撃の深刻化・被害の拡大に従い、増大していると考えられます。そこで、セキュリティリスクに対応するセキュリティ体制そのものも見直した方がよいのではないか、と考えられることもあるのではないでしょうか。
ここでは、基本的なセキュリティ体制の構築手順や、セキュリティリスクのコントロール方法について、最新の情勢を踏まえながら解説します。
また、企業のセキュリティ対策をお考えの方へ、LRMでは、自社のセキュリティ状況を客観評価し、取るべき対策がわかるセキュリティチェックシートを配布しています。経験豊富なコンサルタント作成のシートが無料ですので、ぜひダウンロードしてみてください。
セキュリティの定義についておさらい
情報セキュリティは、コンピューターシステムやネットワークを含む情報システムに関する、機密性、完全性、可用性、認証性、および非否認性などの様々な側面を確保するためのプロセス、ポリシー、プラクティス、技術を指します。
情報セキュリティマネジメント規格においては、「情報の機密性、完全性及び可用性を維持すること。 注記 さらに, 真正性, 責任追跡性, 否認防止, 信頼性などの特性を維持することを含めることもある。」(JIS Q 20000-1:2020より引用)とされています。
つまり、情報セキュリティは、機密性、完全性、可用性などの情報の特定の側面を保護するために実施される一連の措置を指すことができます。これにより、機密情報や個人情報が不正にアクセスされたり、改ざんされたり、消失したりしないようにすることが目的となります。
セキュリティの体制をどう考えるか
企業において、情報セキュリティを実現するための管理策を実行できる体制を、セキュリティ体制、情報セキュリティ管理体制、などと呼びます。
- 組織体制
- セキュリティ統括組織
- インシデント対応組織(CSIRTと呼ばれる)
- セキュリティ担当組織
- セキュリティ管理における責任と役割分担
- セキュリティ管理を行う適切な人材
これらの3つを柱として、以下のような安全管理策により、情報セキュリティリスクのコントロールが可能な体制ができていることが求められています。
- 情報セキュリティポリシー
- 情報セキュリティポリシーは、企業が情報セキュリティの方針や目的を明確にし、従業員や利害関係者にその方針を遵守するように求めるために必要です。
- リスクアセスメント
- 企業は自身の情報資産やシステムに対するリスクを正確に評価する必要があります。そのため、リスクアセスメントを実施し、セキュリティ上の脆弱性を特定し、それらに対処するための適切な手順を策定する必要があります。
- アクセス制御
- 情報システムへの不正アクセスを防ぐために、企業は適切なアクセス制御手順を実施する必要があります。これには、パスワードポリシーやアカウント管理手順などが含まれます。
- データ保護
- 企業は、重要な情報や個人情報など、機密性の高い情報を適切に保護する必要があります。これには、データ暗号化、ファイアウォール、IDS / IPS、アンチウイルスソフトウェアなどのセキュリティ技術が含まれます。
- 教育とトレーニング
- 情報セキュリティ体制を構築するためには、従業員に対してセキュリティに関するトレーニングを実施し、セキュリティ上のリスクに対処するためのベストプラクティスを教育する必要があります。
- バックアップと復旧
- 企業は、災害発生時には情報システムを迅速かつ正確に復旧するためのバックアップ戦略を策定する必要があります。これには、データ保護のための定期的なバックアップ、災害復旧計画が含まれます。
- インシデント対応
- 企業でのサイバー攻撃や、取引先等に影響が生じるインシデントに対して、どのように対応するか、あらかじめ手順と対応を規定等で定めておく必要があります。また、インシデント対応の責任部署を定めておくことも含まれます。
セキュリティ体制の構築手順
ところで、情報セキュリティ体制をこれから構築する、という場合、その手順としては情報資産として何を安全管理策の対象とするか、情報資産の把握から手を付けるのが妥当です。構築手順は、以下の通りです。
1. 情報資産の特定
情報セキュリティの安全管理策の対象となる情報資産を特定します。
情報資産は、次のような分類に従って考えて、情報資産台帳を作成します。
- 情報資産:データ(営業情報、技術情報、個人情報、人事情報等)、紙の文書・記録等
- 物的資産:通信機器、コンピュータ、サーバー、ハードディスク、USBなどの記録媒体等
- ソフトウェア:業務システム、ツール等
- 人的資産:従業員
2. リスクアセスメント
各情報資産に生じるリスクと、その影響を洗い出します。
脅威の種類と、影響額、既存のリスクコントロール手段によりどの程度低減できるかなどを情報資産別に記録していきます。
3. リスクコントロール策の整備および補充
2. リスクアセスメントで残存するリスクをどのようにコントロールするか、ルール・機器の新設や購入、あるいは部署の新設・人員の補充・予算措置などの手段でリスクをどのようにコントロールするのか、具体的な対応を決めます。
サイバー攻撃などのように、コントロールを尽くせないようなリスクに関しては、保険の付保などの検討も行います。
4. リスクコントロール策の実施
3. リスクコントロール策の整備および補充で決めたリスクコントロール策を実施します。
このようにして、いったんセキュリティ体制を構築した後も、2〜4の繰り返しにより、改善を行います。
まずはセキュリティチェックシートで自社のセキュリティ状況を客観評価しましょう。
セキュリティ体制の構築に必要なルール
セキュリティ体制の構築には、ルールが必要です。
根本的な規定として、情報セキュリティポリシーを策定します。
情報セキュリティポリシーと、関連する社内規定を整備することと同時に、ポリシー・規定に対応する業務手順書やマニュアルも必要となります。
また、情報セキュリティ体制を実現するための組織や、職務管掌についても、社内規定などの整備・改訂が必要です。特に、セキュリティ統括部署にどのような権限と責任があり、担当部署にはどのような権限と責任があるのか、社内規定で明確な定めがない場合には、情報セキュリティ体制も実効性が伴わなくなります。
セキュリティ体制の構築で参考になるガイドライン
セキュリティ体制も、外部のさまざまな脅威に対応するために、常に変革を迫られるものです。特に、サイバー攻撃などは最新の情勢を注視しながら対応する必要があります。
そこで、体制構築の方法や留意点については、最新の信頼できるガイドラインを参考にすることが適切と考えられます。
例えば、経済産業省から公表している以下のガイドラインが参考になるでしょう。
まとめ
セキュリティ体制は、ある程度会社に構築されている場合であっても、日々新しいリスクに対応することが求められています。そこで、リスクアセスメントを最新情勢に照らして行いながら、体制そのものも刷新していく必要があるといえるでしょう。
最新の信頼できるガイドライン等を参考にすることや、外部のコンサルタントに専門的な意見を求めるなどして、変化するリスクに対応した体制を構築することをおすすめします。
