企業経営におけるセキュリティ評価は,リスク・対策・コストのバランスを把握する必要がある。「Security Solution 2009」最終日である2009年9月4日,富士通はこれらのバランスを一望できる「情報セキュリティバランスマップ」の可視化手法について講演,来場者は熱心に聞き入っていた。
情報セキュリティバランスマップとは,セキュリティ上のリスク・対策・コストを縦軸・横軸・グラデーションなどで可視化した表計算シートのこと。講演した富士通 セキュリティソリューション本部情報セキュリティセンターセキュリティ監査部の鈴木智良プロジェクト課長(写真)は,「リスクと対策を確認するだけのチェックリストはほとんど役に立たない」と指摘する。
同マップが特に有効なのは,セキュリティを経営課題としてとらえる情報セキュリティ・ガバナンスにおいて,経営陣が方針を固める段階。「評価は導入したセキュリティ対策だけでなく,典型的な脅威全般が対象。導入の有無だけでなく,レベル感が分かる指標とコストを組み合わせた評価が必要。総務部やシステム部がそれぞれ縦割りで評価するのでは不十分」といった課題を解決できる可視化手法としている。
バランスマップでは組織全体を俯瞰するために,表計算シートの縦軸に「個人PC」「共用PC」といった保管場所を,横軸に15の脅威をそれぞれ配置。さらにセルの中にリスクと対策,投資の状況を星の数で表し,それらのバランスをグラデーションで表現する。色が暗ければバランスが悪く,明るければ良好,といった企業セキュリティの状況が一目で分かるようになっている。
バランスを算出するのに必要な「リスク」「対策」「投資」の状況は,それぞれの聞き取り調査を基にサブシートを作って可視化する。情報の保管場所を縦軸,脅威を横軸に配するのは,バランスマップと共通。「リスク」はビジネスへの影響度と情報の使用頻度,「対策」は実施率と強度,「投資」は利用者の負担と導入・維持費を指標に,3~4段階で評価に落とし込む。「利用者の負担は,業務を阻害する要素なためコストとして扱う」(鈴木氏)。
作成した各シートは,半年や1年ごとに作成して推移を見る。「全体を俯瞰できるため,『メールの添付ファイル利用を厳格化した結果,USBメモリーによる受け渡しが増えた』のように,リスクが減ったのではなく実は移転だったなどと状況を可視化できる」(同)という。
鈴木氏は講演の最後に,「情報セキュリティ・ガバナンスの確立には,情報セキュリティバランスマップなどを使った計画と実装,運用保守・監視のモニタリング,経営層の目標とのすり合わせによる評価,さらには対外的に報告書を作成するレポーティングが必要」とバランスマップの位置付けを改めて説明。「こうした作業を繰り返すことで企業価値を高められる」として講演を締めくくった。
