保険システムよもやまばなし(第4回)
システムとセキュリティ(2)
「オリンピックとセキュリティ」から始めた「セキュリティ」のテーマですが、オリンピックも終わり、あっという間に桜の季節も終わって、つくづく時間の経つのは早いものと思います。
このテーマでは、情報システムに係るセキュリティについて、リスク認識や対応策の必要性や、こういった時代において、何をどうしておくべきかをお伝えしています。前回は、セキュリティ対策としてなすべきことの中から、「環境を知る」:何が起きているのか理解するについて「世の中の流れ」、「金融庁の動き」等お伝えしました。
【セキュリティ対策としてなすべきこと】
1.環境を知る : 何が起きているか理解する
2.自分を知る : 守るべきものを理解、明確化する
3.守る : 守り方を決める(すること、しないこと)、実行する
4.確認する : 決めたことを確実に実行しているか確認する
5.回す・見直す: 環境を知る ⇒ 自分を知る ⇒ 守る ⇒ 確認 ⇒ 見直す
今回は、「自分を知る」についてお伝えします。ここでは、各組織での「守るべきものの理解・明確化」:リスクの明確化がポイントです。情報システムに係るリスクは、システムの企画・開発の不備、停止または誤作動、不正使用等を起因として被る損失等がありますが、前回お伝えしたように、最近では、システムの不正侵入、機密情報/個人情報の外部への漏洩、システムに保存されているデータへの改ざん・破壊等といった情報セキュリティ対策の不備に起因して被る経済的及び社会的信用の損失等、情報セキュリティリスクの懸念が高まっています。
各企業・組織では、情報セキュリティリスク顕在化抑制や、顕在化した場合の影響最小化に向けて種々の取組を行っていく必要がありますが、その第一歩が、「守るべき情報資産と情報セキュリティリスク」の明確化・可視化です。機密情報や個人情報がどのシステム(場所)にどの程度(量)保管されているのか、そのシステムはどのような脅威に晒されているのかを認識・理解することです。
●どのシステム(場所)に パソコン、サーバー、媒体、外部等々(含む、インタネット接続有無)
●どう言った情報が(情報の質) 個人情報、機密情報、マイナンバー等々
●どの程度(量) 情報件数
この作業は、精緻に行われることが望ましいですが、精緻に行おうとすればするほど、作業量が大きくなり、時間を要します。まずは、リスク把握・認識の網羅性と作業効率や分かり易さを考慮して、ある程度粗い粒度で確認・評価し、各組織における「守るべきもの」を明らかにしたうえで、そのリスク評価・取組状況を俯瞰的に確認することが重要です。
K System Planning
島田洋之