④ 通常の業務期間中にどの程度、どのようなセキュリティインシデントを検出しているか? 経営層への報告は適切なタイミング、頻度でなされているか?
影響の小さな事象は、逐一経営層までは上がらないでしょうが、一定期間での発生数などの統計情報は把握しておくべきです。
その傾向によって、情報セキュリティに対する認識度を測ることができます。
この問いでは、自社内で実際にどのようなセキュリティ事象及びインシデントが発生しており、それらをモニタリングができているかを問われています。
ある程度影響の大きなインシデントは即座に経営層まで共有できているのかという事も確認する必要があるでしょう。
情報セキュリティに対する適応能力を測ることができます。
この適応能力とは、組織力そのものを意味します。
現場レベルでの情報セキュリティに対する感度、リスクに対する認識、脆弱性や発生した場合のインパクト、といったものが共有されているか観測することを意味しています。
モニタリングの中には、組織メンバーに対する教育、研修の頻度、結果の状況を入れる必要があります。
⑤ 情報セキュリティインシデントに対しての対応計画は、どの程度包括的か? それはどのような頻度でテストされているか?
定期的なチェックが、情報セキュリティインシデントが発生した際の対応計画に対しても必要です。
実際に重大なインシデントが発生した場合、これをCSIRTのようなインシデント対応組織のみに任せるわけにはいきません。
インシデントに迅速に対応し、その影響を極小化するためには組織的な連携が不可欠です。
日頃から関連するすべての組織がインシデントの発生に対してどのように対応をすべきか、意識付けを行なっておく必要があります。
もっとも重要なことは、それぞれの組織でインシデントに適切に対応できる人材が誰であるのかを把握しておくことです。
インシデントが発生した場合、対応に必要なメンバーを集めてチームを構成する必要があります。
インシデントヘの対応能力の備わったチームを構成できるかが初期段階での対応を左右します。
責任と権限を有するメンバーが必要になりますが、これらのメンバーに対して意識と対応能力の向上を図る必要があります。
情報セキュリティ対策とは、「適切な能力と権限を有する人材と組織を用意しておくこと」に他なりません。
外部のリソースを活用することも必要になるでしょう。
しかし、「事業継続性」に影響を及ぼす情報セキュリティリスクをコントロールできるのは、自社のビジネスを十分に知っている人材、組織です。
もう一つ重要なのは、企業や組織は社会的存在であるということです。
インシデント発生時、自社のビジネスへのインパクトだけを考えれば済むわけではありません。
顧客や株主といったステークホルダーに対する責任、広くは社会に対する責任も問われるでしょう。
ポット化したPCやサーバーを放置していては、他の企業や組織に被害をもたらすことになります。
社会的な責任を果たす倫理観や、心構えも必要であるといえます。
経営者への五つの問いかけとチェック項目
- 自社の情報セキュリティリスクをどのように把握しているか?
- 「事業継続性」に影響を与えるリスクをコントロールできているか
- そのために、自社にとっての情報資産は特定できているか
- 自社の情報資産が失われたときの事業への影響を把握しているか
- 自社にはどのような情報セキュリティリスクがあるか?
- リスクの優先順位付けと有効な対策の絞り込みが行なわれているか
- リスク対策は現場で実施可能なレベルのシンプルさが保たれているか
- そのためのツールやシステムの導入と、その効果測定は整備されているか
- 情報セキュリティ技術の業界標準ベストプラクティスをどう活用しているか?
- 自組織の情報セキュリティ組織と業界標準、ベストプラクティとの差分を把握しているか
- 重大なインシデントスは、自ら経験したことがないものがほとんどである
- 活用可能な外部組織を特定して、そこからの情報が適切に活用されているか
- インシデントがモニタリングされ、CxOに報告されているか??
- 実際に発生しているインシデントをモニタリングできているか
- 自組織の情報セキュリティに対する適応能力を測定できているか
- 現場レベルでリスクに対する認識、影響度が共有できているか
- インシデントヘの準備と訓練はなされているか?
- インシデントが発生した際の対応計画は定期的にチェックされ、訓練されているか
- インシデントに適切に対応できる能力、責任、権限を有する人材が誰であるかを把握しているか
- 日常的にメンバーの意識とリスク対応能力の向上が図られているか