キャッシュワンのサイトです。
スポンサー 教える 結果 質問 ドメイン プライバシー 各回 送料 レディース 内容 特別 でしょ 郵送 売り 基本 イトーヨーカドー 取立て 納税 テレビ 新しく 保険 ? アイフル 一部 メイカー リサーチ 教室 引き落とし ファッション 会費

目安とは?/ キャッシュワン

[ 329] 情報漏えいに備えるセキュリティ投資の目安
[引用サイト]  http://www.atmarkit.co.jp/fsecurity/special/50invest/invest.html

情報漏えい事故が多発している現在、企業には何らかの対策を施す必要がある。しかしながら、通常のIT投資と違っていわゆるROIでセキュリティ投資を考えることは難しい。この記事では、情報漏えいが発生した場合の被害額、または設備投資額など具体的な数字を参考にしながら最適なセキュリティ投資額を算出する。(編集部)
個人情報保護法の全面施行が来年に迫ったいま、情報収集フェイズは終わり、セキュリティ対策実施が急務となってきた。セキュリティ対策の担当部門といえば、中小の企業では総務部や法務部、情報システム部が担当し、大企業ではCIO(最高情報責任者)が兼務している場合とCSO(最高セキュリティ責任者)が配置されている場合があるだろう。
2000年以降ネットワークの発達により、セキュリティ管理の対象が、書類や入退出管理といった物理的な管理から、ネットワークを考慮した情報システム中心のセキュリティ管理へと変化してきている。株式会社ITRが調査した「国内IT投資動向調査報告書
この調査によれば、約4割のCIOがネットワークセキュリティの管理を統括している。この数値は前年比6ポイント増であり、このことからも情報システム部がセキュリティ戦略の中心となっていることがうかがえる。
さて、このような状況において、情報システム部では経営に必要なセキュリティ対策を実施するに当たり、どのくらいの金額を投資すべきかが課題となっている。
SFA、SCM、ERP、会計システムなどに代表されるいままでの情報システムのように、業務効率や売り上げ増、コスト削減といったROI(投資対効果)の観点ではセキュリティ投資は説明しにくい。リスクマネジメントの観点で説明できないこともないが、具体的な数字を使って説明されていないのが現状である。
今回は、「直接被害額・間接被害額から見たセキュリティ投資」「設備投資・情報投資額から見たセキュリティ投資」「実際の保有設備から見たセキュリティ投資」といった3つの観点から、具体的な数字を使ってセキュリティ投資を考えてみる。
実際に情報漏えいが起きたことを想定して、それに見込まれる損失を目安に投資額を検討してみる。新聞などで報道されたデータから直接被害額・間接被害額をまとめてみる。なお、直接被害とはお詫びの金券(とその配布費用)や記者会見費用など一次的に発生する損失である。一方、間接被害とは損害賠償請求が確定し、被害者全員にそれを支払った場合に発生する損失である。
なお株価への影響であるが、財団法人日本ネットワークセキュリティ協会(JNSA)の「情報セキュリティインシデントに関する調査報告書(2002)」によると短期的には株価への影響はないとされている。しかし、これは情報漏えい後のCRM(顧客関係管理)がうまくいき、逆に同情または好感されている可能性があることも考慮に入れるべきだ。
一方、間接被害額については、宇治市住民基本台帳データ大量漏えい事件の判例などを基準にすると、損害賠償金額が1人当たり1万円程度である。TBCの情報漏えい事件では被害者の一部だけではあるものの1人当たり115万円の損害賠償を請求している。一般的に損害賠償額は1〜4万円が中心となっており、一般的な項目の情報漏えいであれば、損害額は数十億円である。また、重要な項目の情報漏えいの場合、損害賠償額は500億円程度に達する。ここでいうところの重要な情報とは与信情報など金融機関が保有する情報を指す。
結論からいえば、初期段階のセキュリティ投資として認められる金額は、一般的な項目の情報漏えいについては、直接被害だけを考慮に入れた場合10億円未満、間接被害も考慮に入れれば100億円未満といえる。なお、最終的な投資額は、企業利益の範囲内とのバランスを取ったものとなるだろう。
また、重要な情報の漏えいの場合は、損害賠償金額がさらに大きくなる。このことを考慮に入れると金融機関など重要な情報を多く保有する企業の場合、上記の5〜10倍のセキュリティ投資が必要と考えられる。
情報漏えい対策のセキュリティ投資として、直接被害金額だけを考慮に入れても投資額が10億円にもなると、実際には単年度予算として通すのが難しい可能性がある。この場合、個人情報漏えい保険も視野に入れて検討してみるべきだ。
最近では、中小企業向けの個人情報漏えい保険が、損保ジャパンやニッセイ同和損保、AIU保険から発売されている。これらの保険は、簡単な告知書に回答するだけで加入可能であり、2000万〜4億円までの補償が可能である。もし個人情報漏えい保険に加入できるのであれば、被害額の一部を保険で補えるため、セキュリティ投資額を削減可能である。このため、これらの保険は発表直後、数十件の問い合わせがあり、加入者数も順調に伸びているという。
こうした保険を利用するためには、引き受け条件に合致した体制や、最低限のセキュリティ情報システム(ファイアウォール、侵入検知システム(IDS)、ウイルス対策など)の導入が必須となっている。また、特定の機能を持つセキュリティ製品を導入することで、保険会社がリスク低減効果を評価してくれる。保険料の割引なども検討されているので、システムの選定に当たっては割引対象かどうかもセキュリティ投資額に影響することから1つの選定基準となるだろう。
保有設備に対するセキュリティ製品の導入という視点からセキュリティ投資を考えてみよう。保有設備とセキュリティ製品の適用数から製品投資額を算出し、情報投資におけるソフトの占有率から全体の投資額を推定してみる。
保有設備の構成は、前述の個人情報漏えい保険の引き受け条件となる最低限のシステム(ファイアウォール、IDS、ウイルス対策)を基本に、サーバのアクセス管理を行うアクセスコントロールを付加した標準的な構成と、さらにスパム対策、脆弱性管理システム、資産管理(不正PC検出やライセンス管理など)を含めた理想的な構成で考えてみる。
セキュリティ投資といっても、通常の情報投資のようなROIを求めていては、本来のセキュリティが確保できない。また、セキュリティマネジメントは、いままで総務や法務、人事の仕事であったが、情報が紙から電子データになることにより、情報システム部の存在が重要になってきた。このため、従来の情報システム部から情報セキュリティ&システム部への転換を図るうえでも、セキュリティ投資とセキュリティマネジメントシステムの提案をCEO(最高経営責任者)やCOO(最高執行責任者)と呼ばれる経営層にしてもらいたい。
4月にセキュリティインシデントが急増するワケ (2008/5/20)新人を歓迎するのは優しい先輩だけではありません。新人とセキュリティの関係を、彼らを育成する立場から考えてみます

 

戻る

キャッシュワンのサイトです。

キャッシュワンのサイトです。