1. フリービットクラウドサイトTOP
  2.  > フリービット情報セキュリティ通信
  3.  > 情報セキュリティ通信
  4.  > 改めて知るセキュリティ診断の重要性

情報セキュリティ通信

フリービット情報セキュリティ通信 IPS 脅威検知件数ランキングを毎月お届け!

改めて知るセキュリティ診断の重要性

2016/5/17

セキュリティマネジメントサイクル

どんな企業にとってもセキュリティを強化するためには、現状把握からセキュリティにおける問題箇所を洗い出し、それらを改善・強化する必要があります。何事もそうですが、「現状把握」から詳細な情報を知り、改善箇所を探ります。
現状を把握する手段のひとつとして「セキュリティ診断」がありますが、セキュリティ診断の重要性をあまり認識していない 企業も多いのではないでしょうか。
加えて、一度実施したことのある企業の中でも、その後何年も実施していない・その一度の診断で把握しきれたと感じているかもしれません。
しかし、セキュリティ診断は継続的な解決を必要とするセキュリティ強化において、同じく継続的に必要となる「重要な判断要素」として必要となるのです。

本当の意味で必要なセキュリティ診断とはどういうものなのかを知ることで、企業にとってのシステムリスク・経営リスクを知ることができるでしょう。

■システムリスクは経営リスクと認識する

企業のセキュリティ対策は止まることのないサービスと同じく、止まらないマネジメントサイクルが重要となります。
現状を把握した上で、情報システムである場合はどこにどのような脆弱性があるのかを発見し改善することでセキュリティレベルをアップする一連のサイクルが出来上がります。
このシステムリスクを発見/改善しないとどういうことになるでしょうか。

■今年に発生した大手通信企業のケース

数百万人規模の個人情報が流出したというケースをみると、その原因は内部犯による情報の持ち出しという実態が明らかになりました。
原因詳細を追求すると、個人情報の管理システムおよびその周辺システム、ルール設定などにおいて不備(=リスク)があったことが原因だったのです。

このように、システムリスクという穴が開いていたばかりに、億単位のお金やこれまで築いてきた信頼などが一気に流れ出てしまったということになります。
この例からもわかるように、システムリスクには企業経営を危機に陥れるリスクと、莫大な金銭的リスクが潜んでいるのです。
つまり、これからはシステムリスク=経営リスクと捉えなければなりません。また、そうした認識をもってシステムリスクを診断(可視化)することが、経営面でのリスクヘッジにもつながるのです。