セキュリティインシデントとリスク管理のコストバランス

もし、セキュリティインシデントによる被害額を数値化したとしたら、一体いくらになるのでしょうか。例えば、ラップトップPCをバーに置き忘れた場合の収益への影響を算出するといくらになるのでしょうか。素朴な疑問ですが、ビジネスへのリスク軽減の根拠を示すセキュリティ専門家にとっては、非常に難しい質問です。一方でリスク管理にかけるコストは、特にリソースが不足がちな中堅企業にとっては、大きな課題の一つです。

イギリスの情報コミッショナー事務局(Information Commissioners Office、ICO)は、2010年4月に認められた権限を使って、誤送されたファックス、暗号化されていなかったラップトップの紛失に関して、2つの組織に重い罰金を科しました。これらの罰金は50万ポンドにまで達しています。FSA(英金融サービス機構)が科した罰金に比べ、比較的少額だと思うかもしれません。しかし、これらの罰金に悪評が加わり、最終的に仕事が失われる可能性があることを考えると、リスク管理を目的にしたセキュリティ予算は、変化する規制環境を反映して組む必要があるといえるでしょう。

余り語られることはありませんが、報告されたデータ漏えい事件の約30%は内部関係者によって、偶発的に発生しています。仕事をしたり、問題を解決したりしようとしている中で、不注意によるミスで、情報を開示してしまっているのです。たとえば、ハートフォードシャー州議会のケースは、単なるファックス番号の誤りでしたが、被害者を大いに当惑させ、多額の損失と損害を与えました。また、データの保管方法も重要です。ラップトップPCなどのモバイルデバイスにデータを暗号化しないで保存することの危険性は10年以上前から理解されていますが、今なお、機密性の高い情報が無防備なデバイスに保存されている例が、よく見られます。

企業は、自分たちが個人情報の管理者に過ぎず、所有者ではないことを肝に銘じる必要があります。一方、私たち個人は、鍵をかけて保管したり、一般に入手可能な技術的な対策を使って情報を保護したりするなど、企業が個人情報を大切に扱うよう要求すべきです。

2つの組織はともにインシデントをICOに報告しましたが、今後は罰則を恐れてインシデントを報告しない人も出るかもしれません。誤送信されたファックスを受け取った人が問題を提起しない可能性は低いと思われます。従って、このようなインシデントが再発するリスクを軽減する情報セキュリティプログラムを実装することが、よりコスト効果、業務効率の高い対策と結果的になるのです。情報リスク管理のコストは、セキュリティインシデント後に費やすコストより遥かに安上がりとなるでしょう。セキュリティはコストではなく、ビジネスを実現するために必要な要素なのです。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Quantifying The Financial Impact Of Security Incidents

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速