情報セキュリティは企業、組織におけるリスク対応です。
必要不可欠なものではありますが、過剰なリスク対応は組織企業の運営にあたっての負担になります。
行き過ぎると「事業継続性」そのものへ影響を及ぼす可能性もあるため、費用対効果を考えたバランスの取れた対策が必要になるのです。
リスクは、それが発生した場合の損失と、発生する確率との積分値と見ることができます。
損失とは?
企業や組織は一定の経営資源を投入して事業を行ない、売上や利益を上げます。
しかし、何らかのインシデントが発生した場合には、その対応のために負の経営資源を投入せざるを得ません。
これは売上や利益を上げるために投入すべき経営資源が失われることを意味します。
インシデントが発生した場合には、その対応のためのコストだけでなく機会損失費用も考盧する必要があるのです。
例 とある製造業
製造業の製造ラインがサイバー攻撃を受け、数日間ラインを止めなければならなくなったとします。
この際に発生する被害・必要費用は、以下のように考えられます。
- 復旧のために、被害箇所を特定してこれを修復する、あるいは新たなサイバー攻撃対策を施すための費用
- 納期の遅延など顧客に及ぼす影響に対する対策
- 社員の余計な稼働
- 製造ラインが止まったことによる空き稼働
- 製品の製造が止まったことによる機会損失
これらの様に、リスクとは発生した場合の被害の大きさと被害修復にかかる直接の費用、さらには機会損失として特定しておく必要があります。
また、例えば信用やブランドカの低下といったインシデントに付随して発生が予測される間接的なリスクも考えておく必要があるでしょう。
情報セキュリティに関するリスクは、外部からのサイバー攻撃や内部犯行だけではなく、業務遂行上のリスクも存在します。
会社が貸与したPCやスマトフォンで業務上の情報が記録されている機材、セキュリティの厳しい部屋の入退室管理用のICカード、こういった物を紛失することも情報セキュリティリスクといえます。
誤って、外部に公開されたWebサーバー上に顧客情報を掲載してしまうという事もあるでしょう。
願客に対し、見積書を電子メールで送ったつもりで、仕入れ値の書いた資料を送ってしまったら何が起きるでしょうか。
ビジネスに対する信用も失墜するでしょう。
これはいわゆるメール誤送信の例ですが、メールを受け取った顧客には仕入れ値が知られてしまい、その取引だけではなく、その後の取引でも容易に利益を乗せられなくなってしまいます。
これらの情報セキュリティインシデントが、頻発するようでは社会的な信用までをも失ってしまうでしょう。
「事業継続性」の観点でのリスク特定
それぞれの企業、組織には必ずその事業目的があります。
企業でいえば、どのようなビジネスを行なうことによって、売上、利益を持続的に生み出していくか。
公的な組織の場合は、どのようなサービスを提供することを目的としているかです。
この事業目的を実現すべく、情報資産を活用しているわけです。
事業目的の遂行にあたり、被害を受けると甚大な損失が発生する情報資産を特定することが最も重要になります。
企業秘密、営業秘密及び顧客情報、個人情報などが該当するでしょう。
情報システムとしては、外部に公開したWebサイトや社内の業務処理システム、営業秘密や顧客情報を収容したファイルサーバやデータベースなどにあたります。
これらの情報資産は企業や組織の事業目的に応じてさまざまで、一般的な対処で済むものではなく、個々に取り組む必要があります。
自らの顧客を含むステークホルダーに対して直接的な損害を与えるリスクだけでなく、社会に対して間接的な損害を与えるケースも多々あります。
例えば「リスト型攻撃」はある企業のWebサイトから漏えいしたIDとパスワードが使われて、別の企業のサイトが攻撃される事例がありました。
一つの企業からの情報漏えいが、他の企業に被害を与えています。
ボットネットも、知らない間にゾンビ化した自社のコンピュータが、他の企業に対する攻撃に使われてしまうこともあり得ます。
情報セキュリティリスクに対処することは、企業や組織が果たすべき社会的責任ともいえるでしょう。
リスク評価
リスク評価にあたっては、これらのリスクに対して、発生した場合の損害と発生する確率を個々のケースに応じて評価する必要があります。
リスクの洗い出しにあたり、社内の情報セキュリティ部門を中心としたトップダウン型のアプローチも必要ですが、最終的なリスクは現場にあります。
現場レベルでのリスクの洗い出しによるポトムアップのアプローチも必須といえます。
全社共通のリスクと考えられるものはトップダウンで整理。
現場の業務に依存して生ずるリスクは現場ごとに整理。
これら両者を合わせて、対策の策定に臨むということが必要です。