情報セキュリティインシデント被害額算出方法公開 4
ストーリー by yourCat
これくらい泣く事になります 部門より
これくらい泣く事になります 部門より
coolguy曰く、"情報処理振興事業協会 (IPA)、日本ネットワークセキュリティー協会 (JNSA) より、「情報セキュリティインシデントに関する調査」が公開された。調査報告書 (PDF) に、仮想SI企業のウィルス感染想定シミュレーションにて、想定実被害額を具体的に算出している。軽視されがちなセキュリティ対策の重要性を勤務先や顧客に説く際に、非常に有用な資料として使えそうだ。"
やはり数字にすると分かりやすい。
具体例は興味深いと思います...が、 (スコア:5, 参考になる)
有事における企業の事業継続性を維持する目的で、影響を受けた部分を修正するためのコントロールを考える、「コンティンジェンシープラン」という概念があります。このドキュメントでは復旧に要する費用という形で費用算出を行なっていますが、実際にその金額の大きさがリスクなのではありません。むしろそれによって引き起こされる、システム費用以外の影響を図らなければ経営層からは意味が薄いかもしれません。
ですので、予防計画、復旧計画については、それを軽減あるいは効果を上げるために、費用はもちろんのこと、それ以外の部分でなにができるのかについての考え方を啓蒙しなければセキュリティ対策になっていないわけです。システムへの影響だけでなく、顧客関係回復、広報関連、事業再開、業務部門の緊急対応から通常運用へのシフトなどを扱った続編が必要ではないかなと思います。もっとも、IPAさんが書くべき内容なのかどうかはわかりませんけれど。
あと、アンケートに未回答な企業が結構ありますね。しかも、無回答の理由を見る限り、そこにこそ参考になる情報があるというにおいがします。セキュリティに関する設問がつっこんだものになるのは仕方ないですが、All or Nothingではなく、なにがしかの回答をいただけるような設問票を別途用意しておくと良かったのではないかと思います。
いずれにしても参考になるドキュメントでした。
Re:具体例は興味深いと思います...が、 (スコア:1)
ただし、↑で指摘されてるような部分を改善しつつ、継続的に改善されることを望みますね。
------------------ セキュリティって何?
怖いなぁ (スコア:4, 参考になる)
"セキュリティ業務を兼任する部門がある"が"専門部門がある"を上回ってます(対象が少ないのでアレですが)…重要だと思うのは"兼任"です。一体何と兼任しているのか、が問題だと思うのです。セキュリティに気を回すことのできない兼任なのか、それともセキュリティを中心に他の仕事もやっているのか…
いずれにせよ、作る側と使う側双方でセキュリティ対策に対する知識の底上げが必要だということなのでしょうか。
#ただ犯人探しして糾弾するだけの部署(私の常駐先)とかあるけどな…
---------+--+-------------------++ Don't think twice, it's all right.
お約束だけど (スコア:0)