■ 情報資産(文書等)の棚卸し
アプローチ:
・スペースを網羅する(レイアウト変更の影響を受ける。スペース用途で抑えるのでバッファもカバーし易い)
・プロセスを網羅する(業務手順変更の影響を受ける。バッファなど一過性の資産を見落とす懸念あり)
結局、両方の視点で網羅性をチェックしていくことが望ましい。
1. 分類名(業務区分・メディア区分など)
2. 資産名
3. 所有者(部署・担当)
4. 説明:用途・アクセス頻度・ボリューム等
5. 保管場所
6. 資産価値*CIA(オール1は捨てる)*1:基準を作らなくては。
<審査価値判断基準>・・・セキュリティ規定にあるか?
機密性の程度
|
レベル |
|
|
喪失時の被害金額 |
|
3 |
|||
|
2 |
|||
|
1 |
完全性の程度
|
レベル |
|
|
喪失時の被害金額 |
|
3 |
|||
|
2 |
|||
|
1 |
可用性の程度
|
レベル |
|
|
喪失時の被害金額 |
|
3 |
|||
|
2 |
|||
|
1 |
◇ 全社1万台のサーバーをどう扱うか?
この時代、パソコンは一人一台どころか、サーバー、携帯電話、PDA、ノートPC、USB端末やメモリ、電子情報として持ち出すあるいは持ち込む情報資産は数限りない。中堅クラスの企業でも、その数は1万を楽に越える。少し規模が大きくなれば圧倒的に大量の情報を保管するサーバーだけでも1万台以上があちこちに設置された状態にある。
部門等が自前で立ち上げたサーバーは本社から直接コントロールできない。
ITガバナンスを果たすには何が必要か。
ISMSの具体的な管理策はどうするか。
相手が1台でも1万台でも同じこと。
サーバーを洗い出して、リスクを見極めて、管理策を打つ。管理者それぞれにどのような役割責任を設定しするか、決めたことが遵守されていることを監視する仕組みを作る。まったく、基本的にやればすむこと。
例えば、サーバーに変な設定をやると無用なパケットが大量に発生するなどしてネットワークの安定運用に支障を来たす訳だが、
1)ネットワークサービス資産に対する脅威として評価し、必要な対策を「教育」「監視」「アクセス制御」「監査」などの施策で対応できる。ネットワーク接続申請/IPアドレス付与申請のルールも見直すことができる。
2)1万台のサーバー1台1台を正しく運用したい場合は、それがICS資産であろうと、部門資産であろうと、それぞれのサーバーの用途に応じてリスクアセスを行い、リスクがあるならリスク対応を進めればよい。
基幹サーバーを運用する立場からリスクアセスメントを行えば、ネットワーク品質が安定していないと困る訳で、ネットワーク品質の低下、時代適合性の不足が脅威になり、迂回路の確保・回線の二重化、あるいはダウンタイムの極小化などの要求をだす。要求の強さはリスク値の大きさで判断できる。
統括責任は全社の情報資産が有効に利用されることを進めるわけだから、上記の1)2)とも求められる。1)はガバナンス側の責任で実現していく。2)は利用者側の責任で実現していく。ガバナンス側がISMSの前でひるむとことは止まる。
勇気を出して、「情報部門のブレイブストーリー」へ。