情報セキュリティの全体像

ちょっと前にとあるところで、「情報セキュリティの全体像はどう考えればいいか?」というお題をいただき、プレゼンしたのですが、今回のコラムはその内容を紹介します

情報セキュリティの全体は下図の4つの大きな領域に分けて考えることが可能です。

図:セキュリティの全体像

この4つの領域について、それぞれ他の領域との関連、各領域の中身、各領域における情報セキュリティの活動について考えてみましょう。

①「情報セキュリティリスク」

情報セキュリティリスク。以前のこのコラムでリスクという言葉の定義に関して取り上げたこともありますが、情報セキュリティの観点からの「顕在化していない望ましくない事象」に関する領域です。

情報セキュリティリスク自体は「情報資産」、「脅威」、「脆弱性」の3つの要素が組み合わせからなります。そのため、この領域に関する情報セキュリティ活動は、「情報資産」、「脅威」、「脆弱性」及び、その組み合わせである「リスク」に関する活動になります。

「情報資産」に関する活動としては、情報資産の特定、価値評価、情報資産の変化の確認などがあります。「脅威」に関する活動としては、脅威の特定、脅威情報の収集、攻撃手法情報の収集などがあります。「脆弱性」に関する活動としては、脆弱性情報の収集・評価などがあります。「リスク」に関する活動としては、リスクの特定(洗い出し)、リスク分析・評価、リスクの見直し等があり、情報資産、脅威、脆弱性での活動の結果をリスクに関する活動のインプットとして連携する必要があります。

最近、「脅威インテリジェンス」とか「サイバーインテリジェンス」という言葉を聞かれたことがある方も多いかとは思いますが、それらの活動内容はこの領域のものであるものが多いです。

このリスク領域の活動は、組織の情報セキュリティ全体の方針に関わる部分になります。

②「セキュリティ対策」

セキュリティ対策はあくまで「リスク」への対応として位置づけになります。したがって、当然ながらリスク領域とは非常に密接に関わっている、いわゆる「リスクベース」のアプローチである必要があります。
セキュリティ対策は大きく分けると「組織・人」、「業務(プロセス)」、「システム/システム運用」、「施設・物理」の4つの分野に分類することが可能であり、それぞれの対策の整備および運用を行うのが情報セキュリティ活動となります。

「組織・人」においては、情報セキュリティに関する体制整備、従業員教育・訓練、規定類の策定などを行います。「業務(プロセス)」は組織の業務プロセスにおいて行うセキュリティ対策であり、申請・承認業務のように通常業務に組み込まれた活動や、監査など通常業務から独立して行われるものもあります。「システム/システム運用」はシステムに組み込まれたセキュリティ対策とその運用が情報セキュリティ活動といってよいでしょう。「物理・施設」は施錠、入退出等の施設や設備に関連する情報セキュリティ活動となります。

③「事故(インシデント)」

「事故(インシデント)」はリスクが顕在化したものにあたります。その意味ではリスクとは裏表の関係にあると言えるでしょう。
事故の領域で重要な活動は「事故の検知」、「事故の分析・評価」が重要になります。

「事故の検知」はその言葉通り、事故を発見・検知することであり、そのために監視活動等を行うことになります。「事故の分析・評価」は発生した事故が、どのような種類の事故なのか、どの程度の被害・影響範囲なのか、犯人は誰なのか、原因は何なのか、を明らかにしていく活動であり、「事故対応(インシデント・レスポンス)」の領域の活動として分類することも可能です。

④「事故対応(インシデント・レスポンス)」

「事故対応(インシデント・レスポンス)」は「事故(インシデント)」への対応なので、「事故(インシデント)」との関係が密接になるのは当然なのですが、「事故(インシデント)」の発生をトリガーとして行われる活動となります(イベント・ドリブンでの活動)。いわゆるCSIRTなどはこの領域の活動にあたり、最近のセキュリティ界隈では流行している領域です。

具体的な活動としては、「事故の分析・評価」(「事故(インシデント)」領域参照)、「被害対応」、「回復」、「再発防止」といった活動に分類可能です。
「被害対応」は事による被害の拡大防止を行う、被害者がいた場合の被害者への対応の実施を行う活動です。「回復」は事故の状態から通常の状態に復旧させる活動です。「再発防止」回復とは別に同じ事故が起きないように、セキュリティ対策の強化を行う活動になります。

事故対応においては、例えばシステムのログを確認する、システムの構成を確認するといった、セキュリティ対策の領域の活動結果を利用することも多くあります。また、事故対応を考慮してセキュリティ対策を実施しておく必要もあり、セキュリティ対策と事故対応は密接に関連している必要があります。

セキュリティ活動を行うにあたっては、この4つの領域で、今どの領域の話をしているのか、自社のセキュリティ活動はどこが手薄になっているのか、領域間の関係はきちんと出来ているか、といったことを意識すると、論点のズレ等の混乱が少なく、効果的な議論が出来ると思うのですが…。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光