情報セキュリティリスク
マネジメント
information security risk management
Information security risk management 情報セキュリティリスクマネジメント
このような課題はありませんか?
- ・自社の守るべき情報資産がわからない
- ・ランサムウェアなどのウイルスへの対策がわからない
- ・現状のセキュリティ対策が十分なのかわからない
- ・情報セキュリティ対策は実施しているが、人員やコストが適切かわからない
- ・取引先からのセキュリティ監査に対応したくでもできない
情報セキュリティリスクマネジメントとは
組織が保有する情報資産を脅威から守るために体系的な管理や運用を行うプロセスを指します。
このプロセスは、情報の機密性、完全性、可用性をバランスよく維持しつつ、情報資産を管理・運用することを目的としています。
情報セキュリティリスクマネジメントのメリット
- 情報漏洩などの情報セキュリティリスクを低減することができます。
- 組織全体のセキュリティを高めることで様々なリスクの防止やリスク発生時においても高い事業継続性を維持し、強い企業経営ができます。
- 対外的に企業の信頼性を高めることができます。
- 費用対効果を考慮した最適なIT投資をすることができ、無駄なIT投資を回避できます。
サイバー攻撃から守る、リスク診断と対策提案
リスクマネジメントサービスの流れ
PLAN(リスクアセスメント)
情報資産の重要度、脅威、脆弱性を分析し、リスクを特定・評価します。
DO(リスク対応)
リスクの受容、回避、軽減、移転など適切な対応策を検討し、実施します。
CHECK(モニタリング)
リスク対応策の効果や新たなリスクの発生を継続的に監視・評価します。
ACT(改善)
モニタリング結果を基に対策の見直しやプロセスの最適化を行い、セキュリティを強化します。
リスク対応の考え方・対応方法の種類
- リスク対応の考え方
- 内容
- 物理的対策
- 入退室管理や物理区画の適切化、情報資産の適切な保護といった物理的なセキュリティを確保する対策。
権限の適切な分配、従業員教育や規程、手順書によるルール化などにより、人的リスクを低減することでセキュリティを確保する対策。 - 人的対策
- 権限の適切な分配、従業員教育や規程、手順書によるルール化などにより、人的リスクを低減することでセキュリティを確保する対策。
管理的セキュリティと呼ばれることもある。
不正行為は内部関係者によって行われることが多い為、それを防ぐ対策が必要。 - 技術的対策
- 暗号化、認証、アクセス制御などの技術的な手段でセキュリティを確保する対策。
攻撃を防いで内部に侵入させない為の入口対策と侵入された後にその被害を拡大や外部に広げない為の出口対策がある。また、複数の対策を組み合わせる多層防御もある。
- リスク対応方法の種類
- 内容
- 対応例
- 低減する
- 脆弱性に対して情報セキュリティ対策を講じることにより、脅威の発生可能性を下げる
- マルウエア対策ソフトを導入する、外部記憶媒体の接続を制限する等
- 保有する
- リスクが事業に与える影響が小さい、あるいは対策にかかる費用が損害額を上回る場合などは対策を講じず、許容範囲内として現状を維持する
- 対策を講じない(残留リスク)
- 回避する
- 脅威発生の要因を停止、あるいは全く別の方法に変更することでリスクが発生する可能性を取り去る
- 外部からの不正アクセスという脅威に対し、機密情報が保存されているサーバは外部接続を行わない等
- 移転する
- 自社よりも有効な対策を行っている、あるいは補償能力がある他社のサービスを利用することで自社の負担を下げる
- 社内サーバをセキュリティ対策の充実した外部クラウドサービスに移行する、情報セキュリティに関連した保険商品に加入する等
