【連載第5回】守るべきものを明確に!リスク分析と情報セキュリティ関連規程
前回、基本方針と管理体制の構築について解説しました。方針ができたら、次は「何を守るのか」を明確にするステップです。
第5回では、自社の情報資産を棚卸しし、リスクを評価する方法を解説します。限られたリソースで効果的な対策を講じるには、優先順位をつけることが不可欠です。
情報資産の棚卸し
守るべきものを把握するために、まず自社がどのような情報資産を持っているかを棚卸しします。
情報資産の分類
- 顧客情報: 顧客リスト、契約書、取引履歴、個人情報
- 技術情報: 設計図、製造ノウハウ、ソースコード
- 営業情報: 見積書、提案書、販売戦略
- 人事情報: 従業員の個人情報、給与データ、評価情報
- 財務情報: 決算書、資金計画、銀行口座情報
- IT資産: サーバー、PC、ネットワーク機器、SaaSアカウント
リスクの評価方法
すべての情報資産に同じレベルの対策を講じるのは非現実的です。リスクの大きさに応じて対策の優先順位をつけます。
リスクの大きさは「影響度 × 発生可能性」で評価できます。
- 影響度: その情報が漏洩・改ざん・紛失した場合の被害の大きさ
- 発生可能性: 実際にインシデントが起きる確率
高い影響度 × 高い発生可能性 = 最優先で対策が必要、という考え方です。
情報セキュリティ関連規程
リスク分析の結果をもとに、具体的なルールを「規程」として文書化します。
中小企業に必要な最小限の規程
- 情報管理規程: 情報の分類、管理方法、廃棄方法
- アクセス管理規程: アカウント管理、権限管理のルール
- 持ち出し・持ち込み規程: USBメモリ、PC持ち出しのルール
- 事故対応規程: インシデント発生時の連絡体制と対応手順
完璧な規程は不要です。「運用できるレベル」で策定し、運用しながら改善していくアプローチが中小企業には適しています。
まとめ
「すべてを完璧に守る」のではなく「重要なものを重点的に守る」。この発想がリスク分析の本質です。
次回は、自社だけでなく取引先を含めた「サプライチェーン全体のセキュリティ」について解説します。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。