暗号化とリスク分析

「リスク分析」という言葉をご存知でしょうか?

情報セキュリティの分野に詳しい方にとっては馴染みのある言葉だと思うのですが、普段、そのような業務に携わっていない方には、言葉の意味は分かるけれど、具体的な方法はよくわからないという方もいらっしゃると思います。

情報セキュリティの国際規格ISO27001(ISMS)では、情報資産に対してリスク分析を求められます。それは内在する脅威(因子)と外部からの脅威(因子)を特定し、その脅威のレベルを算定することです。ある一定の基準を超えた場合、そのリスクに対応をする必要があります。

さて、暗号化というのは、リスク分析の結果に対して、一定の基準を超えて脅威があると判断された場合に対応する手段の一つになります。リスクの対応手段としては簡単にいうと4つあります。

1)リスクの軽減 対策を講じる。
2)リスクの保有 対策をせずに見守る。
3)リスクの回避 利用をやめるか、別の方法に変更する。
4)リスクの移転 他社への委託。

この中で暗号化は1)の「リスクの軽減」に相当します。

暗号化の実施をしていない方のほとんどは、2)の「リスクの保有」の「対策をしない」という判断を選択していることになります。
ここで「リスクの保有」を選択している理由としては以下のようなものがあります。

・情報に価値がない。
・脅威が低い。
・コストが見合わない。
・対応できる手段がない。

4つとも「本当に?」と疑いたくなるのですが、しかし、この「リスクの保有」の判断に至る前に、リスク分析が正しくできていないことが多いのです。

リスク分析において、「リスクの対応」を実施するかどうかの判断は、その組織の基準に委ねられます。つまり、判断の基準が低ければ、リスクも低いとみなされ、ほとんどの場合、「リスクの保有」となってしまうのです。

多くの企業で情報漏洩の事件が絶えないのは、リスクを見落としたり、このリスク分析の甘さにより、リスクがあると分かっていても、なんらかの理由で「リスクの保有」を選択してしまったからなのです。

皆様の組織では、適切なリスク分析はできていますか?

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

記事をシェアする