セキュリティ投資の最適化と最近の事例
第3回 台帳管理を起点としたセキュリティ業務効率化
シニアコンサルタント 廣田 昌寿、コンサルタント 三浦 良介
2009年9月16日(水曜日)
1.はじめに
本シリーズでは、数多くの情報セキュリティ・コンサルティング実績の中から、現状の情報セキュリティ対策を見直すことにより投資の最適化やコスト削減を実現した事例について紹介しています。
2.事例3 台帳管理
情報セキュリティ対策として、台帳による管理は、不正行為等の抑止・検知等に非常に効果的です。ここでは、台帳を整理することにより、業務の効率化を実現した事例を紹介します。
3.本事例の背景
A社様では、数年前に情報セキュリティに関する規定類を策定しています。A社様の規定類には以下の特徴があります。
- あるべき姿の規定は策定されているが具体的な手順が少ない
- 手順の少なさを多くの管理台帳や申請書でカバーしている
A社様では数年前に制定した規定類を見直し、情報セキュリティレベルの強化を検討します。
4.台帳の統合による業務効率化
富士通総研では、規定類の見直しを実施する前に、A社様の抱える根本的な問題点を把握するために、簡易的なリスク分析を実施しました。その結果、以下の問題点を抽出しました。
- 情報資産管理台帳と個人情報管理台帳の内容が重複している
- 定期的に情報資産管理台帳と個人情報管理台帳の整合性を確認している
- 情報資産と個人情報の定義が明確にされていない
A社様の問題点を解決するために、弊社では規定類を見直すとともに、情報資産管理台帳および個人情報管理台帳を整理し、業務の効率化を実施しました。
弊社では、情報資産と個人情報の定義を明確にするために、情報資産を機密性の観点から4段階に分け、個人情報を最高レベルとし、情報資産の属性の一部として定義しました。そして、これまでは別々に管理していた情報資産管理台帳と個人情報管理台帳を統合し、情報システム部門にて一元管理することにしました。これらの対策を実施する事により、A社様では以下の効果を得ることができました。
- 台帳の二重管理状態を解消することにより、管理業務の効率化
⇒20人×1,500円(15分のコスト)×250日=750万円 (1台帳あたりの管理コスト) ※情報資産管理台帳と個人情報管理台帳の統合で750万円のコスト削減 |
- 情報資産と個人情報の定義を明確にすることにより、従業員の理解が向上
- 情報資産を機密性の観点から4段階に分けることにより、リスクマネジメントに活用
5.おわりに
台帳による管理は、情報セキュリティ対策レベルを向上させることが可能です。また、外部・内部監査時の証跡、事故発生時の検証等に活用することができます。しかし、適切な台帳管理の仕組みを構築しなければ、従業員の混乱・負荷増加を招き、その結果として、本来のビジネスにも影響を与える可能性があります。
管理台帳によるコントロールを作成する際には、情報セキュリティレベルを高めることだけに着目せず、業務の効率についても検討する必要があります。
関連サービス
富士通総研の情報セキュリティコンサルティングは、お客様が持つ機密情報や個人情報、その他の情報の漏えいや改ざんなどのリスク対応について、情報セキュリティの全体最適化を図った企画立案を支援します。