【連載】セキュリティ投資の最適化と最近の事例
第1回 目的なきPDCAサイクル
シニアコンサルタント 廣田 昌寿、コンサルタント 三浦 良介
2009年7月29日(水曜日)
1.はじめに
近年、コンプライアンス対応により増加傾向であった情報セキュリティ投資が、長期化する経済危機により、現在は減少傾向にあります。このような状況の中でも、企業は個人情報や情報資産を活用・保護し、企業価値を維持・向上させていく必要があります。本シリーズでは、数多くの情報セキュリティ・コンサルティング実績の中から、現状の情報セキュリティ対策を見直すことにより投資の最適化やコスト削減を実現できた事例について紹介していきます。
2.事例1 目的なきPDCAサイクル
PDCAサイクルは、継続的な改善を行うために、計画(plan)、実行(do)、評価(check)、改善(act)のプロセスを順に実施します。ここでは、“継続的な改善”という目的がないPDCAサイクルを改善した事例について紹介します。
3.本事例の背景
A社様では、数年前より情報セキュリティ対策強化に取り組んでいらっしゃいます。以下に、A社様が実施して来られた情報セキュリティ対策を示します。
・数年前に情報セキュリティ規定群を制定し、定期的に教育・内部点検を実施
・クライアントPCに情報セキュリティ対策ソフト(暗号化等)を導入
このような取り組みを行っておられるA社様ですが、機器の紛失、メールの誤送信等の情報セキュリティ事故が後を絶ちません。A社様では、現状の情報セキュリティ規定群を改定し、情報セキュリティ対策レベルの向上を考えておられます。
4.現状の可視化
弊社では、ギャップ分析およびリスク分析を実施することによりA社様の現状を可視化し、具体的な問題点を把握してから情報セキュリティ規定群を改定するアプローチを提案しました。
・ギャップ分析:各種基準と既存の情報セキュリティ規定群のギャップを可視化する手法
・リスク分析:情報資産の完全性、機密性、可用性による評価と脅威・脆弱性からリスク値を算出する手法
ギャップ分析の結果としては、PDCAサイクルとして、各種対策の実行(do)手続きや内部評価(check)が明確に定義されていました。しかしながら、リスク分析結果としては、リスク値が高い情報資産が散見され、適切な情報セキュリティ対策が実施されていませんでした。
各種分析結果から抽出されたA社様の問題点は、PDCAサイクルの「改善(act)」が実施されていないために自社の現状に適した情報セキュリティ対策を実施できていないことです。現場では、現状の手順を実施し、内部評価に合格することだけが目的とされ、情報セキュリティ委員会では内部評価結果の報告だけが実施されていました。弊社では、形式的なPDCAサイクルではなく、継続的な改善を目的としたPDCAサイクルを実行できるように、具体性のある「計画(plan)」および「改善(act)」プロセスを規定群に追加しました。このプロセスを追加することにより、A社様では内部評価から導き出されたウィークポイントに対し、的確な情報セキュリティ投資を実施することが可能となりました。
5.おわりに
多くの企業では、情報セキュリティ規定群の制定、情報セキュリティ製品の導入を実施しています。しかしながら、情報セキュリティに関するリスクは年々高度化・多様化し、自社の保有する情報資産、ビジネス形態は刻々と変化します。対策を実施した時点では適切であったとしても、「改善」という目的のないPDCAサイクルでは、年々対策レベルが相対的に低下していきます。限られた情報セキュリティ投資の中で、対策レベルを維持し、投資対効果を高めるために、「計画(plan)」および「改善(act)」プロセスの実効性・有効性を再確認し、継続的な改善が実施でるように見直す必要があります。
次回は、効率化効果についても触れながら、「禁止ルールの選択」についてご説明します。
関連サービス
富士通総研の情報セキュリティコンサルティングは、お客様が持つ機密情報や個人情報、その他の情報の漏えいや改ざんなどのリスク対応について、情報セキュリティの全体最適化を図った企画立案を支援します。