「セキュリティ評価」は、セキュリティの脆弱性を洗い出す「セキュリティレビュー」と、損失の大きさや発生頻度を分析する「リスク分析」の2つで構成されます。
セキュリティレビューは脆弱性の洗い出し
セキュリティレビューでは、情報資源に対するセキュリティの状況を物理的・システム的・管理的・人的側面から調査検討し、潜在的な「脆弱性」を洗い出し(弱点を探し出し)ます。具体的には、ネットワーク資源として各種サーバーや業務アプリケーションなどを洗い出すとともに、現在施されている情報セキュリティ対策についても調査検討します。
なおこの結果は、各資源に対するリスク分析の基礎となります。セキュリティレビューの方法には、チェックリスト(質問表)を利用するのが有効です。情報セキュリティ担当部門が作成したチェックリストは、各部署のセキュリティ担当者に回答してもらいます。
この作業は、各部署のセキュリティ担当者に自分が属する部署の、セキュリティ上の弱点を認識してもらう副次的効果があります。一般にチェックリスほ利用してセキュリティレビューを行う場合は、各チェック項目について「○:実施している」「△:十分ではないが実施している」「×:実施していない」でチェックし、最終的に情報資産を巡るリスクを「大」「中」「小」で評価していきます○ レーダーチャートのようなグラフで視覚化しても見やすいでしょう。
チェックリスト以外のレビューもある
リスク分析では、洗い出された脆弱性について影響の大きいものから順に「脆弱性リスト」を作成し、その脆弱性が顕在化する可能性(発生頻度)と、顕在化した場合のリスクの大きさ(損失額)を予測します。この発生頻度と損失額から「優先順位」を決定し、村策を講じます。
リスクは、発生頻度と損失額が大きいので、無条件で対策を講じなければいけません。左上のリスクは、発生頻度は低いものの損失額は大きいので、ちゃんとした対策を検討しなければなりません。右下のリスクは、損失額は小さいですが発生頻度が高いため、結果として累積損失額が大きくなってしまいます。これらのリスクは、優先順位2で対策を講じる必要があります。
最後に左下のリスクですが、これは無視して構いません100% のリスク回避は、費用面から考えても不可能です。リスク対策には捨てる勇気も必要です。これを「リスクの受け入れ」とも呼んでいます。こういったリスクに対応した対策が必要な場合は、保険に加入することで、回避できます0各種リスクの発生頻度と損失額に関する定量的な統計があれば、リスク分析も正確になります。
ただし、そのような便利な情報はなかなか得られないので、広範囲からのメンバーを集めてプロジェクトチームを組織し、できるだけ客観的な分析を行う必要があります。
定量的で目に見える評価を
脆弱性リストを作成したら、このリストを使用して定量的なリスク分析を行います。「定量的」これがポイントです。セキュリティ対策のためには、各種セキュリティツールの導入費用や、セキュリティ上の問題が起きた場合の保険費用、人的資源(工数)などを含む適切な予算を組む必要があります。お金がなければなにもできませんので、そのためには(セキュリティに関心のない)経営陣を説得する必要があります。ですから、定量的で目に見えるような(つまり1年間にかかる損失が何千万円になるのか)評価をしなければならないのです。
セキュリティ対策についての費用対効果を考えるよりは、むしろそれを怠った場合の対被害度合いを論じるほうがずっと効果的です。定量的なリスク分析の方法として、「コートニー法」と呼ばれるものがあります。コートニー法では、脅威を、事故による情報の漏洩・改ざん・破壊と、意図的な漏洩・改ざん・破壊の6つに脅威を分類します。次に、各情報資源に対して、これらの分類ごとの1年間にかかる損失額を、脆弱性リストに基づいて算出します。
この損失額に発生頻度を掛ければ、年間の予想損失額が計算できます。
コメント