ここから本文です

「セキュリティ対策、何から始める?」 その答えはただ1つだ!

ITmedia エンタープライズ 7月14日(木)15時24分配信

 こんにちは。アイレットのcloudpack事業部で情報セキュリティ管理を担当している齊藤愼仁です。

【画像】情報資産における事故が重大な経営リスクだと経営層に分からせるには、情報資産リストが非常に役立つ

 読者の皆さんは自社のセキュリティ対策を行おうとしたときに、まず何をするでしょうか。私が知る中では、多くの会社が「自社で事故が起きてしまった」もしくは「事件や事故が起きたことをメディアで知った」ことなどがきっかけで、その対策を“付け焼き刃的に”行っているように思います。

 ここ最近は、特にランサムウェア対策や、標的型攻撃対策のセキュリティ製品がずらずらと市場に出回っていますが、皆さんがまずやるべきは製品の選定や評価ではありません。具体的な対策に入る前に「会社がどんな立ち位置にあり、どんな情報を守らなければならないのか」ということを評価する必要があるのです。

●「自社の本当に守るべき情報は何か」を知る方法

 それでは、実際にcloudpackが受領しているSOC2レポート(独立受託会社監査人の保証報告書)をベースに説明していきましょう。

 このレポートで最初に決めるのは監査の対象範囲です。この部分は監査を受ける企業が自由に設定できます。当然のことながら、会社全体の統制状況を評価してもらうよりは、一部に絞った方が監査自体もスムーズになるのですが、セキュリティで守るべき範囲を狭めるというのは、実は非常に難しいことなのです。

 なぜなら、守るべき情報資産に対するランク付けや、物理ネットワーク構成による隔離、はたまた人的教育の差など、会社の規模にかかわらず、情報資産に対するリスク評価が行われていなければ、そもそも何を守るべきかも判断できないためです。そして、これが今回のテーマである「セキュリティ対策を何から始めるか」の答えにもなるのです。まずは情報資産に対するリスクを一覧にしてみましょう。次の手順はその一例です。


1. 自社にどんな情報資産があるのか、ずらっと書き出す
2. それらの情報がどこに保管されているのか追記する
3. それぞれの項目について、会社にとっての「価値」をランク付けしてみる
4. 誰が、もしくはどの部署がその情報を管理しているのか追記する
5. その情報が漏えい、破壊、紛失、事故が起きた場合のリスクをランク付けしてみる

 もしも皆さんが、会社の上層部に対して「ウチの会社はセキュリティ意識が低いからなぁ」とか「もっとセキュリティ対策したいのに予算確保が……」と思っているなら、このリストが役立ちます。自社が持つそれぞれの情報資産がこういう形で、こんな風に事件が起きたら、会社がなくなるかもしれない――という重大な「リスク」を可視化できるからです。情報資産における事故は、重大な経営リスクであることを彼らに自覚させましょう。

 法律上守られなければならない情報資産と、会社にとって守るべき情報資産は必ずしも一致しません。作成したリストは、最低でも1年に1回は見直して更新すべきです。情報資産の洗い出しとリスク分析を自社で行うことで、重要度が高く、かつリスクの高い情報資産が可視化され、本当の意味で守るべき情報を明確にできます。そして、これこそがSOC2の監査対象であるべき項目となるわけです。

 実はこの「情報資産リスト」は、国際的な情報セキュリティ監査でもあるISMS(ISO 27001)でも厳しく問われる部分です。ただし、これはSOC2レポートとは異なり、リストが存在していることが監査の目的となっており、正直あまり意味を成していません。さらに言えば、リストをでっち上げることも容易なので、監査を通すためだけにそれっぽいリストを作成した、という方もいらっしゃるのではないでしょうか。

 前回の記事でSOC2レポートは外部に公開でき、取引先に対して提出可能な資料であると説明しました。これによって、セキュリティにとって非常に重要な「高い透明性」を確保できると同時に、そのレポートに会社は責任を負うことになります。記述書における表示の適切性、網羅性、正確性、記述書通りの業務が行われているか、内部統制が適用されたデザイン通りの業務および文章化にも責任を有することになるのです。

●セキュリティに完璧はない、SOC2レポートにもそう書かれている

 セキュリティ対策を行っていく上で、SOC2レポートには「固有の限界」として、次のようなことも書かれています。

 記述書は、広範囲の会社に対して共通するニーズを満たすために書かれています。それらの会社が重要と考える全ての側面を評価したわけではありません。会社の内部統制は、その性質および固有の限界によって、監査基準を充足するように有効に機能しない可能性があります。また将来の予測もできませんし、システムの変更に伴って内部統制が不適切になったり、機能しなくなったりするリスクがあります。

 前回もお伝えした通り、SOC2には更新審査の強制力はありません。逆に言えば、何度受けてもよいわけです。これはあくまで持論ですが、ITサービスが目まぐるしく進化しているのに、セキュリティ監査が1年に1回しかないのもおかしな話だと考えています。海外には、半年に1度のペースでSOC2レポートを更新している会社も存在しています。

 とはいえ、外部の監査機関にお願いするのも費用がかかりますし、会社にとってセキュリティリスクに対してどこまでコミットするかもさまざまです。そこで、まずは自社の情報資産を洗い出そうというわけです。その後、具体的に何をどうすべきかはこの時点で理解する必要はありません。ここで最も重要なのは「危機感の可視化と意識の共有」です。

 SOC2は自社の監査範囲を設定して監査できると書きましたが、それでも会社全体における大枠の内部統制デザインについては徹底的に調べられます。それは「セキュリティと関係あるの?」と思えるようなことまでさまざまです。

 分かりやすい例を挙げれば、「社員の満足度調査を行っているかどうか(満足度が低ければ離職や事故による業務停止のリスクがあるため)」「顧客に対してもセキュリティトレーニングを行っているかどうか(意識やリスクの共有ができないこと、そのもののリスクがある可能性があるため)」などがあります。あなたの会社ではどうでしょうか?

 次回は、実際に可視化された情報資産の一覧を元に、1人でもできそうなこと、多額の費用がかかること、いつまでにやりたいかなどの目標立て、そしてその結果得られるものとは何なのか、SOC2レポートを使って他社にまで公開できるレベルとはどの程度のものなのか、例を挙げながら具体的に解説したいと思います。

最終更新:7月14日(木)15時24分

ITmedia エンタープライズ