こんにちは。
篠原継之助です。
皆さんは情報のセキュリティ対策は万全に取られているでしょうか。
パソコンが普及し始めてから約30年ほどでネット文化は一気に広まりました。
何か知りたいと思ったら自分ですぐに調べることができ、とても便利になった一方、気を付けていかなければならないのが情報セキュリティ対策です。
ボク自身もECサイトを運営していることもあり、顧客情報や商品情報、様々な情報を守る事が重要になってきたので改めて勉強してみました。
今回参考にしたのはlifetheater(https://life-theater.jp/archives/105)です。
情報セキュリティは今後、個々人での対策が求められてきています。
今回はlifetheaterから学んだ「情報資産に対するリスク対応策」について自分の中で整理しながらお伝えできればと思います。
『リスクマネジメント』と『リスクアセスメント』の違い
似たような言葉で『リスクマネジメント』と『リスクアセスメント』という2つの言葉があります。
リスクマネジメントとは
リスクが顕在化する前にその可能性を排除したり、影響を低減させることを指します。
リスクアセスメントとは
リスクが顕在化した場合の影響を導き出し、リスクの影響を数値や損害額などで把握しておくことを意味します。
どちらも企業のリスク管理上必要な考え方であり、情報セキュリティ上欠かせないものとなっています。
リスクマネジメントに際しては事前にリスクのレベルと対応の優先度をリスクアセスメントによって決定する必要があります。
そのため定期的に確認をして、現状を把握しておくことが大切です。
リスクへのアプローチ
リスクへのアプローチには、「回避」「低減」「転移」「保有」の4つの方法があります。
回避:リスクを生じさせる原因を取り除く
リスクが発生した際に影響が大きい場合やリスクが発生する頻度が高い場合は、あらかじめリスクを生じさせる原因を取り除く対応を行います。
例)社内サーバーが何かしらの理由で動かなくなった時に備えて別の場所にバックアップサーバーを備えておく
低減:リスクが顕在化した時に影響を少なくする
リスクの発生を事前に防止したり、仮にリスクが発生した場合でも影響を軽減するための対応を行います。
例)情報漏洩した時に備えて普段から社内情報をすべて暗号化しておくなどの対策を講じる
転移:リスクが顕在化した時に損失を他者に移転する
リスク発生の頻度は低くても発生時の影響が大きい場合には、リスク発生時の損失を他者に移転する対応を行います。
例)自社で運営しているデータセンターを外部の専門業者に委託、リスク対策として損害保険に加入しておき発生した損失を穴埋めする
保有:特に対策をとらずその状態を受け入れる
リスクが受け入れ可能な影響レベルと判断された場合や現実的なセキュリティ対策がないためやむを得ず受け入れるしかない場合には、リスクを受け入れます。
起こったリスクレベルに対してそれぞれきちんと対応できるように、バックアップやセキュリティの勉強、万が一の保険などの準備をしておきましょう。
イレギュラーなリスクと対策
自然災害やシステム障害など、いつ起こるかわからないイレギュラーなリスクもあります。
過失:個人の操作ミスや設定ミス、紛失
企業や組織における情報漏洩の原因の多くが、人為的なミスやヒューマンエラー、利用者の理解不足、ITリテラシーの低さによるものとされています。
そのため、セキュリティ対策のセミナーを行って注意喚起をしたり、講習会などを開催してリテラシーの向上を図っていく事が大切になります。
また、データにアクセス権限を設けアクセスログを取る事も効果的です。
記録されていることを認識させることで、気の緩みを引き締めるとともに、悪意ある内部犯の抑止力としても期待できます。
機器やシステム障害:地震や火災などの影響でサーバーが使用できなくなる、停電によるシステム停止、機器の経年劣化
デジタル機器を扱う以上なくすことが難しいリスクですが、日頃からバックアップを行い、データが失われても復活できるようにしておく、自家発電装置を用意する、システムの二重化を行うなどの方法があります。
また、機器の経年劣化によるシステム障害が起きないよう、定期的にシステムメンテナンスを行うことも重要です。
ここまで書いてきましたが、いろいろなリスクを考えて状況によって対策を講じる事が大切ですね。
企業だけではなく個人でもネットを使う方がほとんどだと思います。
正しい知識を知ってリスクを最小限で抑えられるようにしていきましょう。
ご一読いただき、ありがとうございました。