このページの本文へ

セキュリティアセスメントサービス ~なぜ、セキュリティ対策を実施しても、情報漏洩が起きるのか~ トピックス・イベントレポート

ブロードバンドセキュリティ
高度情報セキュリティサービス本部 B2SIRT
セキュリティ戦略コンサルティング部
山田伸和氏

厳重なセキュリティ対策を施しているにも関わらず、情報漏洩が発生してしまった……それは、組織に内包するリスク(情報セキュリティを損ねる要因や可能性)を十分に把握できていない、あるいは気づいていないことが原因で、セキュリティ対策に落とし穴があるからかもしれません。ワークショップ「セキュリティアセスメントサービス」では、ブロードバンドセキュリティの山田伸和氏が、セキュリティ対策の「心・技・体」を解説することで、情報漏洩対策の要件を明らかにするとともに、第三者視点によって情報漏洩のリスクを可視化する「情報セキュリティアセスメント」について紹介しました。

セキュリティ対策の「心・技・体」

セキュリティ対策における「心・技・体」とは

山田氏は、ブロードバンドセキュリティが独自に定める、セキュリティ対策に必要な要件であるセキュリティ対策の「心・技・体」を紹介しました。「心」は、社員や役員のセキュリティ意識の向上、「技」はIT技術による情報漏洩防止ソリューションの導入、「体」は組織における防御体制の確立および緊急時の被害最小化体制の確立を意味します。

対策しているにもかかわらず情報漏洩が起きる理由

いくら情報漏洩対策を行ったとしても、先に述べた「心・技・体」が欠けていては、意味がありません。たとえば、OSやアプリケーションのアップデートを怠っていた場合は、脆弱性を突かれて被害に遭ってしまいます。また、従業員が定められたルールを守らなかったり、許可されていないソフトウエアをインストールしたり、私物の外部メディア(USBメモリなど)をパソコンに接続したりした場合は、ウイルス感染の危険性がさらに高まるでしょう。

山田氏によれば、許可されていないソフトのインストールや外部メディアの接続といったルール違反は、役員によって行われる場合も少なくないそうです。

このほか、PDCAサイクルによるセキュリティ対策の見直しや、対策の落とし穴を発見して改善することも求められます。

セキュリティコントロールとは

サイバー攻撃は、無差別に行われた攻撃から発展することが多く、ほんの少しの防御の穴(セキュリティホール)でも攻撃の足がかりになってしまいます。また、いくら技術的な対策を行ってもそれだけでは不十分であり、いつでもインシデントは発生し得るという考え(事故前提)を持たなければ防御は困難であり、現状のリスクを把握してリスク管理を行うことが重要です。

そこで、組織の情報セキュリティを維持する仕組みとして、「セキュリティコントロール」という考え方が紹介されました。セキュリティコントロールを構成するのは、「予防/防御」「検知」「復旧」の3つの要素で構成されています。

情報セキュリティアセスメント

経営者がセキュリティ対策に取り組むべき理由

近年は、「経営者が自らセキュリティ対策に取り組むべき」という考え方が主流です。山田氏は、その理由を「自社がどんな情報を守るべきかという課題は、IT部門が担当する範囲を超えており、どのようなセキュリティ対策を実施するのかという判断も含め、経営者が経営課題として取り組むべき」だからと説明しています。

一方で、情報漏洩対策の落とし穴を発見するためには、さまざまな調査が必要であり、これを企業が単独で行うのはかなりのマンパワー(投入できる人的資源)が必要になります。実際にはセキュリティ担当者は他の業務と兼任であることが多いといった社内事情や、組織全体の内包する気づかないセキュリティリスクやセキュリティ対策の有効性を第三者に客観的に評価してもらうといった理由から、すべてのセキュリティ対策を自社で行うのは、現実的とはいえません。

情報セキュリティアセスメントとは

「情報セキュリティアセスメント」とは、自社の情報漏洩対策の落とし穴を見つけるための第三者評価であり、情報セキュリティリスクを可視化することで、危機管理における問題の回避が可能です。

リスクアセスメントでは、インタビュー、現地視察、実機確認、文書レビューなどによって必要な課題を顕在化する「現状把握」→課題に対する対策の優先順位付けやスケジュールを作成する「対策の計画」→各種セキュリティ対策のための「対策の実装」の、3つの段階で進められます。

セキュリティに関するお問い合わせ