守りたい情報は何か?

情報セキュリティ対策を検討するため、リスクの洗い出しを行う必要があります。情報セキュリティにおいては、まず守りたい情報をリストアップします。

リスクの識別:守りたい情報は何か?

守りたい情報にはどのようなものがあるでしょうか。例を上げてみたいと思います。守りたい情報をリストアップしたら、情報の何を守りたいのかについても明確にします。以下、守りたい情報として、買い物サイトの認証情報(パスワード)を例にあげてみます。
(例)買い物サイトのパスワード:機密性

リスクの定性的分析

リスクを識別したら、リスクが発現した場合、どのような損害が発生するか分析します。
(例)クレジットカードの限度額まで買い物される。

リスクの定量的分析

リスクを識別したら、リスクが発現した場合、どれだけの損害が発生するか分析します。
(例)月最大100万円の損失が発生する。

リスク防止策とコスト

リスクが発現しないようにするための方策とコストを算出します。
(例)暗号化通信を行えるサイトのみを利用する。特別なコストはかからない。

リスク対策とコスト

リスクが発現した場合の対応策とコストを算出します。
(例)パソコンがマルウェアに感染したことが原因。パソコンの再インストールとパスワード変更で対応。時間以外のコストはかからず。ただし、パソコンの管理の不備を指摘され、損害額は補償されず。

コンティンジェンシープラン

最悪の事態を想定し、その状態からの対応策を検討します。
(例)生活費に困らないように、生活の予備費を用意しておく。

おわりに

情報セキュリティ対策は、守りたい情報をリスト化し、リスク管理の考え方を適用します。

コメント記入欄

※メールアドレス(任意入力)は非公開です。コメントはお気軽にどうぞ!

内容を確認して、「コメント送信」ボタンを押してください。

post date*

※日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)