第5回 情報セキュリティのリスクマネジメント

相次ぐ情報漏洩

昨今、情報漏洩、特に個人情報の漏洩のニュースが絶えることがありません。人数の大きなものでは、大手プロバイダーや通販会社などから100万人単位で個人情報が流出していますし、海外では、1000万人単位でクレジットカードの流出が起こったという事件もありました。

では、情報漏洩事故は他には起こっていないのでしょうか。また、情報セキュリティにまつわる情報漏洩以外の事故は起こっていないのでしょうか。その答えは「いいえ」です。個人にまつわる情報漏洩だからこそ報じられているだけの話で、その影では数え切れないほどの情報セキュリティの事故が起こっていると予想されます。

情報セキュリティで守るべきものとは

では、情報セキュリティの事故とはどのようなものを指すのでしょうか。言い換えれば、情報セキュリティで守るべきものは何か、という疑問になります。これについては、情報セキュリティのバイブルともいえる国際標準規格ISO/IEC17799にて3つ、定義がなされています。

1. 機密性・・・秘匿扱いすべき情報を外部に漏洩させないよう管理すること
2. 完全性・・・組織の情報が常に正しいものであり、改ざんされていないことを保障すること
3. 可用性・・・組織の有する情報を、権限を持つものが使いたいときに使えるようにすること

情報漏洩は1．の機密性が侵害された事例ですが、情報セキュリティでは、2．の完全性や3．の可用性が侵害されることで、組織に大きな被害をもたらすこともあります。

情報資産は企業第四の資産

たとえば、2．の完全性が侵害された事例を具体的に考えてみましょう。わかりやすい例ではウェブサイトの改ざんなどが考えられるかと思います。もし、あなたの会社でオンラインショップを経営しているところへ侵入者が現れ、製品マスタの価格からゼロを1つ2つ抜き取ってしまったらどうでしょうか。

3．の可用性の侵害も組織に大きな被害を与えることがあります。災害等で組織の貴重なデータをすべて失ってしまった場合を想像してみてください。情報も利益の根源になっていることが現代の企業では決して少なくないのです。

古くから、「ヒト・カネ・モノ」が企業の三大資産だといわれてきました。確かにこの三つは現在でも企業にとって大切な資産です。そして今、「情報」が第四の資産であろうといわれはじめています。

情報資産に対するリスクマネジメント

「情報」が企業経営を左右しかねない現在、それに対するリスクマネジメントが非常に大事な課題となってきています。これは大企業に限った話ではありません。中小企業でも重要な経営課題となりつつあります。

具体的には第2回で述べたように、個々の情報資産に対してその価値を求め、望まない出来事が発生したときの被害の大きい順に、4つの選択肢から対策を選びながら講じていくことになります。

---

関連記事

• 企業コンプライアンスを支えるSystemwalker V13.1
• 富士通ジャーナル 2006年7月・8月合併号
  Top Story(1) 企業の持続的発展に向けて 企業価値向上のための統合リスクマネジメント

• 第4回 物的資産への直接被害のリスクマネジメント
• 第5回 情報セキュリティのリスクマネジメント
• 第6回 PL法にまつわるリスクマネジメント

記事についてのご質問・ご意見ご要望など、お気軽にお問い合わせください。