第5回 情報セキュリティのリスクマネジメント
相次ぐ情報漏洩
昨今、情報漏洩、特に個人情報の漏洩のニュースが絶えることがありません。大手印刷会社が取引先から受託していた延べ800万件に昇る個人情報を流出させました。業務委託先の従業員が、同社電算処理室から無断で持ち出したものです。一部の個人情報は第三者へ売却され、詐欺事件に発展しています。
アメリカではクレジットカード決済処理会社の業務用サーバーにトロイの木馬と思われるウイルスに侵入され、約4,000万件のカード情報流出を引き起こしたという事件がありました。実際に不正使用された恐れのある口座も確認されています。その後、カード決済処理会社は、別企業に買収されました。
では、情報漏洩事故は他には起こっていないのでしょうか。また、情報セキュリティにまつわる情報漏洩以外の事故は起こっていないのでしょうか。その答えは「いいえ」です。個人にまつわる情報漏洩だからこそ報じられているだけの話で、その影では数え切れないほどの情報セキュリティの事故が起こっていると予想されます。
情報セキュリティで守るべきものとは
では、情報セキュリティの事故とはどのようなものを指すのでしょうか。言い換えれば、情報セキュリティで守るべきものは何か、という疑問になります。これについては、情報セキュリティのバイブルともいえる国際標準規格ISO/IEC17799にて3つ、定義がなされています。
- 機密性・・・秘匿扱いすべき情報を外部に漏洩させないよう管理すること
- 完全性・・・組織の情報が常に正しいものであり、改ざんされていないことを保障すること
- 可用性・・・組織の有する情報を、権限を持つものが使いたいときに使えるようにすること
情報漏洩は1.の機密性が侵害された事例ですが、情報セキュリティでは、2.の完全性や3.の可用性が侵害されることで、組織に大きな被害をもたらすこともあります。
情報資産は企業第四の資産
たとえば、2.の完全性が侵害された事例を具体的に考えてみましょう。わかりやすい例ではウェブサイトの改ざんなどが考えられるかと思います。もし、あなたの会社でオンラインショップを経営しているところへ侵入者が現れ、製品マスタの価格からゼロを1つ2つ抜き取ってしまったらどうでしょうか。
3.の可用性の侵害も組織に大きな被害を与えることがあります。災害等で組織の貴重なデータをすべて失ってしまった場合を想像してみてください。情報も利益の根源になっていることが現代の企業では決して少なくないのです。
古くから、「ヒト・カネ・モノ」が企業の三大資産だといわれてきました。確かにこの三つは現在でも企業にとって大切な資産です。そして今、「情報」が第四の資産であろうといわれはじめています。
情報資産に対するリスクマネジメント
「情報」が企業経営を左右しかねない現在、それに対するリスクマネジメントが非常に大事な課題となってきています。これは大企業に限った話ではありません。中小企業でも重要な経営課題となりつつあります。
具体的には第2回で述べたように、個々の情報資産に対してその価値を求め、望まない出来事が発生したときの被害の大きい順に、4つの選択肢から対策を選びながら講じていくことになります。
ITコンサルタント 小松 信治
[2008年1月8日 掲載]
- 第4回 物的資産への直接被害のリスクマネジメント
- 第5回 情報セキュリティのリスクマネジメント
- 第6回 PL法にまつわるリスクマネジメント
製品・サービスのご紹介
お客様の企業価値向上をご支援する
富士通の安心安全ソリューション
「徹底した見える化」の推進で、経営者に求められるリスクへの適切な対応と高水準のマネジメント維持、改善に向けた適切な投資判断を支援する「SafetyValue」の構築背景、特長をご紹介
ジャーナル最新のテーマ
お客様の声をお聞かせください
富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。
お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。
