セキュリティについて、全員が知っておくべきこと

クライアント：
「セキュリティって単語を良く聞くけどさ、高い・低いってなんなの？」

山本：
「答えるのが難しい質問ですね。
と言うのも、本来セキュリティは高い・低いで測るものではないんですよ」

・・・

セキュリティを確保する、と言うのは簡単な言葉なれど実現するのは大変です。
今回は、これだけ先ずは押さえて欲しいと言うポイントだけまとめました。

＜＜4つのキーワード＞＞

セキュリティを細かく説明し出すとキリがありません。
何しろ時代に応じた変化を求められるものですので。

ですので、ポイントとなる次のキーワードを4つだけ、押さえておきましょう。

■資産

資産とは、対象となる組織が保有する財産です。
企業であれば、「情報資産」や「ソフトウェア資産」、「物理的資産」などです。

■脅威

脅威とは、悪意の有無に関係なく、結果的に組織が保有する資産に対して害を及ぼす、
または発生する可能性のある事象を指します。

■脆弱性

脆弱性とは、組織の体制上、脅威に対する攻撃に弱い状態の事を指します。

■リスク

リスクとは、組織の脆弱な部分を利用して脅威が侵入した結果、
資産が外部に出ることで被害が発生する可能性の事を指します。

“資産”が無ければ”脅威”も存在し得ないのですが、その様な企業は現実にはあり得ません。

また”脆弱性”が無ければ”リスク”はゼロとなりますが、
複雑化した会社の仕組みで脆弱性を無くすることは難しいでしょう。

＜＜リスクとセキュリティ＞＞

“資産”があるから”脅威”が存在する、
“脅威”があるから”脆弱性”を気にしなければならず、
そして”リスク”について考えなければならなくなる、と言う流れですね。

この「リスク」ですが、計算式があります。

【リスクの大きさ＝資産の価値×脅威の大きさ×脆弱性の度合い】

この「リスクの大きさ」を「セキュリティが高い・低い」と
呼ぶと考えても良いでしょう。

＜＜まとめ＞＞

クライアント：
「つまり、会社の資産が何かをわかっていないと
セキュリティの対策はできないということ？」

山本：
「はい。仰るとおりです。
その基準無く”セキュリティには気をつけてね”と要望されても、
意識のすり合わせが難しくなるんですよ。」

クライアント：
「そうか。そしてその資産をどのように守るかの方法によっても
費用が変わると言うことでしょ？」

山本：
「はい。それも仰るとおりです。」
「だからこそ、価格も含めた最適な解決方法を相談する必要があるんです。」

・・・

セキュリティを確保したい、と言われるクライアント様は本当に多いです。

しかし「どの資産を、何から、どのように守るのか」、これを決めるのが難しい。

何から決めれば良いのかわからなければ、まずはご相談ください。

ドリームハイブでは、ISMS(情報セキュリティマネジメントシステム)という
国際標準化された資格を保有しています。