​Column Back number

■保険システムよもやまばなし 


第6回:「システムとセキュリティ(4)」

 国際情勢がめまぐるしく動く中、反則ラフプレー対応でリスク管理を問われる大学や、相変わらずモリカケ論争続く霞が関が世間を騒がせている感じですが、季節は確実に進み、梅雨・紫陽花の季節になって参りました。長雨の鬱陶しさの中でもスッキリしていきたいですね。

  さて、鬱陶しいのはセキュリティも同じ。次から次へと新たな脅威が生じて、どこまで続くのか、どこまで対応をしていけばいいのかに悩まされている方も多いと思います。このコラム『保険システムよもやまばなし』では、これまで、「システムとセキュリティ」と題して、「1.環境を知る」、「2.自分を知る」、「3.守る」について、お伝えしてきました。

 前回の「守る」では、守るべき情報資産の重要度に応じて、安全性や確実性、経済合理性等考慮しながら、「仕組み」・「ルール」、「予防」・「発見」を多層的に組合わせた「守り方」を決めることの重要性についてお伝えしました。

 「守り方」を決めたら、それを確実に実行していくことが求められます。そのためには、決めたことを明らかにし、その周知・徹底を行っていく必要があります。「守り方」についての考え方や手順・要領などを明らかにし、方針やマニュアルとして文書化し、研修等を通じて全員へ周知・徹底する。その後は、確実に行われているか「確認・評価」する。「確認・評価」にあたっては、指差し的確認を行うことで組織としての実効性・確実性を担保すると言った具合です。

 仕組みの導入やルールまで作ったが、それで終わらせた。セキュリティ管理担当を決め、確認を行うことにしている。何か生じたら、いつでも対応出来る体制にはしてある等対応状況は様々だと思いますが、セキュリティの維持・確保は、最近では社会的責任・使命になって来ていますので、組織としての実効性・確実性を担保する観点からも指差し的確認を行うことや、実施状況や社会動向を踏まえて、さらなる改善に繋げていくこと等、組織としての業務運営の成熟度を高めていくことが求められています。

(業務運営の成熟度)
「業務運営の成熟度」は、現状の業務プロセスがどの程度適切に運営されているかを測定する考え方で、

6つの段階があり、概ね以下の通り定義されています。

  0.存在しない
   認識可能なプロセスが存在していない。対応は、個人的に、または場合に応じて場当たり的に行われている。
  1.初期/その場対応
   問題の存在と対処の必要性は認識しているが、標準化されたプロセスはない。対応は、個人的に、または場合に応じて場当たり的に行われている。
  2. 再現性はあるが直感的
   同じ仕事に携わる別の人が行っても、同様の手順で行われる程度のプロセスは存在する。

   しかし、標準化された手順の研修や周知は行われておらず、個人への依存度が高い。
  3. 定められたプロセスがある
   手順が標準化および文書化され、研修等を通じて周知されている。

   しかし、標準化された手順に従うかどうかは個人に委ねられ、

   手順通りでないことが発生しても発見しにくい。
  4. 管理され、測定が可能である
   手順の順守度を認識・確認することができ、プロセスの有効性が疑われる場には対策をとることができる。

   プロセスは常に改良が加えられ、良好なプロセスへとつながる
  5.最適化
   継続的改善、および他社との比較を含む成熟モデルスパイラルが構築され、

   プロセスがベストプラクティスのレベルにまで最適化されている。

 各社では、セキュリティへの取組の重要性について、十分認識し取組まれていることと思いますが、多くの場合、上記の成熟度レベル「3. 定められたプロセスがある」状況ではないかと思われます。前述したようにセキュリティの維持・確保は、社会的責任・使命になって来ていますので、組織としての実効性・確実性を担保す
る観点からも、指差し的常時確認と評価、継続的な改善といった、より成熟度の高い業務運営を目指して頂くことが期待されます。

 まずは、今の状況がどの程度のものなのかご確認頂ければと思います。健康診断のような感じで確認・評価し、今の状況を確認・認識したうえで、必要なステップアップを図って頂ければと思います。自己診断の方法は、前回もお伝えしましたが、次のサイトで行うことが出来ます。 
 
ザッと確認したい方
⇒ 5分でできる自社診断シート (IPA)
       https://security-shien.ipa.go.jp/learning/

少し本格的に確認・評価したい方(業界内ベンチマークもしてくれます)
⇒ 情報セキュリティ対策ベンチマーク (IPA)
       https://www.ipa.go.jp/security/benchmark/

 これまで、「システムとセキュリティ」をテーマに、「1.環境を知る」、「2.自分を知る」、「3.守る」、「4.確認・評価」についてお伝えしてきました。
次回は、「システムとセキュリティ」の締めくくりとして,昨今話題になっている「サイバーセキュリティ」に焦点を絞って、求められる取組・対策についてお伝えしたいと思います。

K System Planning
島田洋之