今回は、サイバーセキュリティ対策を考えていく上で最も基本となる「現状の把握」と「リスクアセスメント」についてお伝えしていきます。

対策の基本は、正しく「現状を把握」することに尽きます。この工程が基本でありながらも、最も重要な部分であり、しっかり対応できていない場合、その後の具体的な対策が有効なものとならない可能性もでてきます。

「現状の把握」と「リスクアセスメント」とは?

企業や組織がサイバーセキュリティ対策を考えていく上で重要視すべきは、組織内の情報セキュリティマネジメント体制を確立していくことになるのですが、闇雲に進めるのは得策ではありません。

そのためにまず、しっかりと「現状の把握」を実施していきます。

ここで言う「現状の把握」とはあくまでもサイバーセキュリティ対策を考えていく上でのことなので、例えば、

・企業や組織が保有する情報資産の洗い出し
・それら資産の保管・運用状況
・ITシステム関連の種類・利用状況
・個人情報関連の取り扱い方法
・各種法令、ガイドライン等への適合状況

などが挙げられます。

これらを洗い出し、理想とする「あるべき姿」とのギャップを可視化することが非常に重要になります。

場合によっては、隠したい事実もあったりするかもしれませんが、それらも含めてすべて洗い出しするようにしてください。

また、この工程を進める上でもいくつかのポイントがあります。

「範囲の明確化」

企業や組織の規模はさまざまです。例えば、全国的に支店がある企業、本社1拠点のみの企業、個人情報を大量に保有している企業、そうではない企業、ITシステムを多岐にわたって活用している企業、そうではない企業などです。

したがい、「現状の把握」を実施していく際には、まず対策する範囲を明確にすることを推奨しています。

例えば、全国的に拠点が存在する企業であれば、「まず本社内の事から」、ITシステムが複数ある企業では、「まずは外部公開しているサイトから」など、範囲を明確化すると作業が進めやすくなります。

ただし、これはあくまでも作業を進めやすくするという目線でのお話です。セキュリティ対策は全社的に進める必要がありますので、最終的には網羅性をもった洗い出しが必要になることに留意してください。

「現状の把握」

前項の通り、「範囲の明確化」を実施した上で、次は「現状の把握」の工程に進めます。ここで言う「現状の把握」とは、前述の通り企業や組織が保有する資産の洗い出しや、ITシステム等の運用状況などを取りまとめ、理想とする「あるべき姿」とのギャップを明確にすることです。

なお、ここに記載の「あるべき姿」とは、決して理想論ではなく、情報セキュリティマネジメントの観点からは以下のような状況が整っていることを指します。

・実現可能な目標が制定され、組織全体に浸透していること
・リスクが可視化されていること
・保有資産が明確に管理されていること
・ITシステム等に対する技術的安全対策が施されていること
・それらに対する運用ルールが徹底されていること

つまり、「現状の把握」とは、これらの「あるべき姿」とのギャップを可視化し、その後のギャップを埋めるための具体的取り組みの道標となる重要な工程だとご理解ください。