ISO27001では情報資産の台帳作成とリスクアセスメントの実施が求められています。情報セキュリティのリスクを特定し、管理策を選択する際に観かたを少し変えるだけで、日常業務の改善を見出すツールになっていきます。全社にISMSを活用して、組織の能力向上につなげ成果を上げたい経営者、担当者の皆さんにお役に立つ情報を提供します。
完全性からみた情報資産の脅威と改善への取り組みとは
情報資産における完全性には、「正確、最新であること」を保持しないといけません。これは、外部から社内LANに侵入され情報を改ざんされることだけでなく、社内で意図せずに完全性が危険にさらされる事柄も含まれます。
例えば、作成した書類が誤字・脱字で不正確な内容になってしまったり、新たに制度や仕組みを導入した、もしくは手順が変更になったのに、マニュアルを始めとする規定文書の見直しがされていないままになっている 等の状態は完全性が保持されていない事例です。これは、文書管理の不備にもあたります。
上記のような「意図しない脅威」は、ワードやエクセル 等で作成した文書を誤って消去してそれまでの内容が再現できなくなったり、紙媒体の書類についてバインダーでファイルした一部が紛失する 等のケースも含まれます。
このように完全性の脅威の対策は、クロスチェックや管理手順の見直し、ペーパーレスの推進 等、日常業務の改善につながるネタが数多く潜んでいます。以前支援をした建設業の組織では、業務効率化の一環としてペーパーレスを目指していましたが、紙媒体の情報資産の紛失や破損等の脅威をリスク評価した上で、ペーパーレスが必要だと改めて関係者で実感し、停滞していたペーパーレスの取り組みを加速させて実現してしまいました。
可用性から波及する脅威に対応するには
可用性は、必要な時に使用できるかどうかをみていきますが、様々なケースが考えられます。現在使用しているPCのスペック不足から新規のOSへの移行が出来なくなる脅威やOSのサポートが切れたのに新たなOSに移行しないこと、今使用しているソフトが新たなOSに対応できなくなるリスク 等、組織的に対応が出来ずにリスクを放置するケースが実際にありました。
組織が、ITの使用やセキュリティについて情報の収集を怠り、業務に支障をきたしかねない状況を生み出すことがあります。組織がOSや使用している機器、ソフトに関する情報に関心を持ってアンテナを張る仕組みを整備して業務を止めない運用を始めとして、組織的に対応する能力を持つことです。
機密性にも関わりますが、ランサムウエアや標的型攻撃等の外部からの攻撃による意図した脅威に対する対策は当然取り組まなければなりません。それ以外にも、BCP(事業継続計画)に取り上げられるケースですが、電力がストップすることでIT関連機器の使用が出来なくなる状況や通信の遮断によるクラウドへのアクセスが出来なる状況 等、組織でコントロールできない可用性を脅かす出来事にも対応が求められます。
情報セキュリティのリスクアセスメントでは、組織自体が、それぞれのケースのリスクについて対策がどれだけとっているのかを評価する際に、対策が取られているか否か、取られていたとしても有効であるか否かという認識を持つために実施します。
完全性の所でも書いたクロスチェックの実施や文書管理手順の整備、セキュリティの最新の情報を入手して社内で共有し理解する仕組み 等、自分達の足元をしっかりと強くすることが最も重要です。最新のセキュリティツールを導入するだけではなく、リスクアセスメントを実施して人材に対する教育を着実に進める事です。どうぞその事を肝に銘じて取り組んで下さい。