パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

情報セキュリティインシデント被害額算出方法公開」記事へのコメント

  • by okdt (17) on 2002年06月17日 13時30分 (#108761) 日記
    ざっと読みました。ページ数のわりに早く読めるドキュメントですね。具体例を明示するためにサンプルパターンとシナリオを設定している部分などは、わかりやすくする涙ぐましい努力が感じられます。サンプルパターンやシナリオを増やすのには限界があるんでしょうが、統計的に平均的なパターンというのはもう少し規模の小さい企業なのではないかなと思いました。

    有事における企業の事業継続性を維持する目的で、影響を受けた部分を修正するためのコントロールを考える、「コンティンジェンシープラン」という概念があります。このドキュメントでは復旧に要する費用という形で費用算出を行なっていますが、実際にその金額の大きさがリスクなのではありません。むしろそれによって引き起こされる、システム費用以外の影響を図らなければ経営層からは意味が薄いかもしれません。

    ですので、予防計画、復旧計画については、それを軽減あるいは効果を上げるために、費用はもちろんのこと、それ以外の部分でなにができるのかについての考え方を啓蒙しなければセキュリティ対策になっていないわけです。システムへの影響だけでなく、顧客関係回復、広報関連、事業再開、業務部門の緊急対応から通常運用へのシフトなどを扱った続編が必要ではないかなと思います。もっとも、IPAさんが書くべき内容なのかどうかはわかりませんけれど。

    あと、アンケートに未回答な企業が結構ありますね。しかも、無回答の理由を見る限り、そこにこそ参考になる情報があるというにおいがします。セキュリティに関する設問がつっこんだものになるのは仕方ないですが、All or Nothingではなく、なにがしかの回答をいただけるような設問票を別途用意しておくと良かったのではないかと思います。

    いずれにしても参考になるドキュメントでした。
    • 恐らく、国内で発表されたセキュリティと費用に関する初のドキュメントだと思われます(間違っていたらごめんなさい)。職業柄、こういうドキュメントの必要性は常々感じてはいるのですが、こういう感じでまとめられた文書があるのは有難いです。

      ただし、↑で指摘されてるような部分を改善しつつ、継続的に改善されることを望みますね。
      --
      ------------------ セキュリティって何?
      親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...