開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/05/27

リスク対策は予防/復旧の両面から~今、企業が取り組むべきセキュリティマネジメント

サイバー犯罪の手口は悪質・巧妙化しており、情報漏えいをはじめとしたセキュリティ事件・事故は依然として後を絶たない。一方で、クラウド・コンピューティングの進展により、企業が守るべき情報の管理方法および情報セキュリティにおける「リスク」の概念自体も大きく変化しつつある。こうしたなかで企業に求められるリスクマネジメントの内容や情報セキュリティ投資の重要性について、情報セキュリティ大学院大学 教授の原田 要之助氏が解説した。

クラウド時代に合ったリスクマネジメントのために

photo
情報セキュリティ大学院大学
教授 原田要之助氏
 情報セキュリティマネジメントシステム(ISMS)の認証基準である国際規格ISO/IEC27001が、2013年10月に改訂された。原田氏はこの改訂のポイントについて、「“リスク所有者(リスクオーナー)”という新たな概念をはじめ、情報セキュリティのリスクについての捉え方が大きく変わっている」と指摘する。

 従来、企業における情報の管理は、情報を格納したメディア(紙やハードディスク、光ディスクなど)を「情報資産」として管理するのが一般的であった。データ所有者が資産管理者となり有体物の情報資産を管理することで、本来は無体物である情報を間接的に管理することができる。管理責任の所在も明確だ。

 しかし、この情報資産をベースとした管理では対応しきれないケースも増えてきた。その最も大きな要因として挙げられるのが、クラウド・コンピューティングの進展だ。クラウド上にデータを置く場合、データが正確にはどこにあるのかも特定しづらく、情報資産を明確に定義できない。そもそも、クラウド事業者はデータを預かるだけでデータ所有者ではなく、責任の所在も曖昧になりやすい。そこで、「リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体」として“リスク所有者”が新たに定義された。

「これにより新しい規格においては、有体物である“情報資産”ではなく無体物である“情報そのもの”が管理対象になり、“資産管理者”ではなく“リスク所有者”がその管理者となる。つまり、預ける側のデータ所有者だけでなく、預かる側(クラウド事業者など)もリスク所有者として明確に責任を持つということであり、クラウド活用時の実情にマッチした情報管理及びリスクマネジメントを意識した内容となっている」(原田氏)

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!