セキュリティのしくみ「必要な考え方」

スポンサーリンク

保護するものは「情報資産」

情報資産の分類

攻撃者の目的を理解できたところで、次は何を保護するかを考えてみましょう。会社などの組織を運営していくためには、「ヒト」「モノ」「カネ」に加えて「情報」も必要です。

例えば、企業で取り扱う情報には、顧客情報や従業員の個人情報、設計書や会計情報などがあり、これらを情報資産と呼びます。企業には多くの情報資産がありますが、コンピュータで取り扱うものだけでなく、紙や人の記憶などに保存されている内容もあります。

そこでこれらを分類し、管理担当者を任命して適切に保護しなければなりません。担当者が責任を持って管理していないと、取引先や顧客から預かっている情報が適切に管理されない可能性があります。

脅威とリスクの違い

情報の重要度は情報資産の内容によって異なる

情報資産を分類して管理していても、攻撃者による不正アクセスなどによって重要な情報が危険にさらされる可能性があります。また、社内の従業員による情報の持ち出しなどによって、組織に損害を与える可能性もあります(ただし、情報資産には「秘密にする必要があるもの」や「なくなると困るもの」だけでなく、「公開されているもの」もあります)。

このように、情報資産に悪影響を与える原因や要因を脅威と呼び、その可能性の有無(発生確率)をリスクと呼びます。

重要な情報資産に情報漏えいなどの事件が発生すると、企業の信用失墜や競争力の喪失、賠償責任といった重い負担にもつながりかねません。

そこで、守るべき情報資産に対して発生する可能性がある脅威を整理し、脅威の発生確率や発生した場合の影響度などを評価してリスクを分析します。リスクは業界や業務によって大きく異なるため、さまざまな分析手法が提案されています。

POINT

  • 情報資産を分類して管理担当者を任命し、責任を持って保護する
  • 情報の重要度や脅威の発生頻度、リスクの大きさなどによって適切な対策を考える