​Column Back number

■保険システムよもやまばなし

 

第5回:「システムとセキュリティ(3)」

 一か月ぶりのメルマガです。この間、国際情勢がめまぐるしく、これまで想像もつかないようなダイナミックさで動いています。この流れの中で我が国はどのような振舞い方をしていくのか、真の国力・外交力の発揮が求められる時代になって来ている感じがします。
 
  さて、「システムとセキュリティ」ですが、これまで「1.環境を知る」「2.自分を知る」と進めて参りました。前回の「2.自分を知る」で、機密情報や個人情報がどのシステム(場所)に、どの程度(量)保管されているのか、そのシステムはどのような脅威に晒されているのかを認識・評価し、「守るべき情報資産と情報セキュリティリスク」の明確化・可視化を行なうことの重要性をお伝えしました。
 
  今回は「3.守る」をテーマに、守るべき情報資産に対して、その重要さなどを考慮しながら守り方(すること、しないこと)を決める、決めたことを確実に実行するについてお伝えしたいと思います。

  守り方(すること、しないこと)を決める上で重要なことは、守るべき情報資産の重要性の重み付けと脅威の認識です。それを前提に、安全性や確実性、経済合理性等考慮しながら守り方を決めていきます。
 
  守り方は、「設備やシステム的な仕組み」と「交通規則のようなルール」によるものとの組み合わせで作っていきます。利用者の煩わしさを考えると、全て「設備やシステム的な仕組み」で対応することがいいと思われますが、そのためには、コストもかかりますし、日々変化・進化し続けるセキュリティの脅威に万全に対応出来るわけでもありませんので現実的とは言えません。
 
  安全性や確実性、経済合理性等を考慮すると、セキュリティリスクを前提に「仕組み」にまかせるもの、「ルール」にまかせるものの判断を行い、「仕組み」と「ルール」をうまく組み合わせながら、幾重ものリスク軽減を図っていくこと、多層的な防御策を構築していくことが最も現実的な対応策と言うことになります。また、その際留意すべきは「予防」と「発見」の考え方です。
 
「予防」では、例えばウィルス対策とかHP閲覧制限、外部記録媒体利用禁止等の仕組みやルールが考えられますが、その仕組み・ルールをかいくぐって、セキュリティ脅威が猛威を奮ってしまうこともあります。そう言った時に重要なことは「発見」。異常を如何に迅速に発見・把握し、適切・的確な対処を行えるかです。例えば、外部記録媒体利用の厳格なルールがあっても、それが確実に機能しているのか都度確認していく必要があります。外部記録媒体の棚卸、現物確認等を適宜行うことで、異常を検知することもでき、適切な対応に繋げていくことが出来ます。このように「予防」と「発見」、それぞれ補完させることで確実性をより高めていきます。
 
「仕組み」と「ルール」、そして「予防」と「発見」を多層的に組合わせることで、その組織・企業にとって適切、かつ網羅的で実効性あるセキュリティ対策を経済合理性を考慮しながら構築していくことが出来ます。
 
  重要なことは、常に今の状況を認識・把握しておくこと、そして変化・進化しているセキュリティ動向に関心を持って、必要な対応を適切に行っていくことに尽きると思います。次回、この「確認する」、「見直す」についてお伝えしていきたいと思います。

 

  なお、今のセキュリティ対策がどのレベルにあるのか確認されたい方は、次のサイトで自己診断されることをお勧めします。
 
ザッと確認したい方
⇒ 5分でできる自社診断シート (IPA)
       https://security-shien.ipa.go.jp/learning/

少し本格的に確認・評価したい方(業界内ベンチマークもしてくれます)
⇒ 情報セキュリティ対策ベンチマーク (IPA)
       https://www.ipa.go.jp/security/benchmark/


K System Planning
島田洋之