情報セキュリティのマネジメント 第4回|機密文書(廃棄/処理)なら抹消仕事人

情報セキュリティのマネジメント 第4回

情報セキュリティを賢くマネジメントする方法

第4回 情報セキュリティとリスクマネジメント

情報セキュリティを考える上で情報に対するリスクの把握は必須のものとなります。

ここで言うリスクとは、情報が「危険」にさられることで、リスクを管理する上で「脅威」と「脆弱性」という概念を用いて考えます。
 
例えば、履歴書という個人情報が紙の状態で机の上に放置されていた場合、「持ち去られる」という脅威があり、これは「放置」という脆弱性(弱点)があることで危険にさらされていることがご理解頂けると思います。 履歴書記載の個人情報が漏洩するというリスクに対して、脆弱性をつぶす=放置させない、或いは、保管を徹底するといった管理策を講じることにより、リスクが管理されます。情報が存在する以上脅威を無くすことはできませんが、脆弱性を無くす(又は減らす)ことで、リスクをコントロールするわけです。
 
漏洩というのは情報の「機密性」に対するリスクですが、これ以外にも情報が使えなくなる「可用性」、情報が正確でなくなるという「完全性」に対するリスクが有ります。情報は使ってなんぼですから、必要な時に使えなかったり、正しくなければ価値が無くなってしまうので、そういった状態になってしまうこともリスクとして捉えなければなりません。

色々な情報についてリスクを把握してゆくことで、組織内の情報を守るための管理策が構築可能となり、その管理策を運用し、リスクを低減していくことが適切なリスクマネジメントとなります。

 
 
図1
【執筆者プロフィール】
株式会社サイバービジネス
代表取締役 戸田浩二氏

三菱電機系のシステム会社で約10年システムエンジニアを担当。監査法人トーマツで業務改善のコンサルタントに従事。BPR事務局を担当。1997年よりサイバービジネス代表として業務系(システム、ISO、Pマーク、内部統制等)コンサルティングを行っている。


本件コラムは当社が毎月1回発行している会員向け情報紙「わくわく仕事人通信」に掲載されたものです。このコーナーでは、過去に掲載されたコラムの中から、情報セキュリティやリスクマネジメント、機密文書管理等に関連するコラムを厳選してお届けいたします。