情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

8.人的セキュリティ > 8.5 リスクマネジメント

リスク所有者とはなんでしょうか。
情報漏えいをしそうなリスクを持っている、あぶない社員ではありません。リスクに関して責任や権限を持って対処していく人になります。経営層などの権限を持った人が該当します。
過去問(H29秋SG午前問8)では、「JIS Q 27000:2014 (情報セキュリティマネジメントシステムー用語)では,リスクを運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体を何と呼んでいるか。」という問いの正答がリスク所有者です。

セキュリティに完璧はない。
日本でも有名なセキュリティベンダの方と何人かお話ししましたが、100%はあり得ないとおっしゃっていた。
どれだけ対策しても、本気で狙われたらやられてしまうだろう。それは、内部の人を活用したりした場合だ。それに、ログなどもしっかり消してしまえば、その痕跡さえも分からない。

たとえば、無敵だった信長がなぜ光秀に討たれたかというと、理由は簡単である。光秀は内部の人間だったからである。今川義元を破り、××を破り、外敵には無敵の守りであったが、内部の人間に攻められると簡単に崩れてしまう。これはセキュリティでも同じこと。
今のセキュリティは外部よりも内部の犯行に注意すべきであることは周知の事実である。史上最強のハッカーであるケビン・ミトニックは著書の「欺術」(ソフトバンクパブリッシング)にて「これまでの経験や統計は、企業にとって最大の脅威が内部者だ、と明確に語っている」と述べられている。
11d7b807

だったら、セキュリティ対策はやってもやらなくても
一緒ですね。



おっと、極論だね。
でも、某カード会社がやられたときには、株価が「うん百億円」ほど下がった気がする。小さい会社ならつぶれちゃうね。

セキュリティに100%は無いが、セキュリティレベルを高めることはできる。それが90%なのか99%なのか。それとも30%なのか。確率論としても、99%のほうが被害が少ない。
それと、不用意に情報を持たないことや、不用意に外部からアクセスしやすいところに保管しないことも大事。
その方法は、リスク低減とともにリスク回避などである。例えば、クレジットカードの悪用が心配であれば、利用額の上限を低くする。インターネットバンキングであれば、インターネットバンキング用の口座を分け、そこには少しの預金しかないようにする、など。

過去問(H29秋SG午前問16)では、「シャドーITに該当するもの」として、「IT部門の公式な許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービス」とあります。
自分のPCを持ち込んだり、外部のストレージサービスを利用することによって、情報漏えいのリスクにつながります。

このページのトップヘ