セキュリティ対策の基本は「現状を正しく把握する事」

2025年7月8日 2025年7月8日西村

現在、ITを取り巻く環境は、様々なWEBサービスの登場により、利用者にとっては以前とは比べ物にならないくらい、便利で快適なものになりました。

多種多様なサービスがインターネット経由で利用できるようになり、我々の生活様式にも大きな変化が生まれました。

今後も益々利便性が増していく事が想像できますが、その一方でセキュリティに関する脅威やリスクの増加にも注意しておかなければいけません。

これは、サービスを提供する企業側、利用するユーザ側双方に言える事です。

今回は、サイバーセキュリティ対策の基本となる「現状を正しく把握する事」というプロセスについてお伝えしていきます。

最初が肝心！
セキュリティ対策の第一歩は「現状を正しく把握する事」

前回のコラムの「サイバーセキュリティ対策の基礎知識」にてお伝えしましたが、セキュリティ対策の範囲や対象、管理策の種類は多岐に渡ります。

それらを効率良く、且つ効果的な取り組みにする為に、まずは最初に実施すべき事項が今回ご説明する「現状を正しく把握する」というプロセスです。
この工程は、基本的な事でありながらも実は最も重要な部分であり、しっかり対応出来ていなかった場合、その後の対策が有効なものとならない可能性も出てきてしまいます。

具体的な取り組みとしては、以下のような内容を明確にしていきます。

企業や組織が保有する情報資産の洗い出し
それら資産の保管・運用状況
ITシステム関連の種類・利用状況
個人情報関連の取り扱い方法
各種法令、ガイドライン等への適合状況

これらを洗い出し、「あるべき姿」とのギャップを可視化していきます。

そして、この工程の進める上では、以下の３つのポイントを意識して進めてください。

次項より詳しくお伝えしていきます。

１．範囲の明確化

企業や組織の規模や業務環境は、業種・業態により様々なパターンが存在します。

例えば、規模で言えば全国的に支社・支店がある大企業もあれば、本社1拠点のみの企業もあります。
業種によっては、個人情報を大量に保有している企業もあれば、そうでもない企業もあるでしょう。
また、積極的にIT活用している企業と、そうではない企業もあるかと思います。

従い、「現状の把握」を実施していく際には、まず「対策する範囲を明確にする事」が必要です。

具体的な例としては、

全国的に拠点が存在する大企業であれば、まず本社のみを対象として実施し、その後に各拠点を展開していく
ITシステムを複数活用している企業であれば、まず外部公開しているサイトやシステムのみを対象として実施し、その後に内部の業務システムにも適用していく

など、まず最初に対策を実施する範囲を明確化しておくと作業が煩雑にならずに進め易くなります。

ただし、これはあくまでも作業を進め易くするという目線での話しです。
セキュリティ対策は全社的に対応する必要がありますので、最終的には網羅性をもった洗い出しが必要になる事を忘れないように留意してください。

２．リスクアセスメント

前項の「範囲の明確化」を実施した後は、、「リスクアセスメント」の工程を進めます。

「リスクアセスメント」とは、企業や組織が保有する情報資産に関して、どのようなリスクが潜在しているかを洗い出し、それらを分析・評価していく作業の事です。
具体的には、以下のようなプロセスで実施します。

情報資産の洗い出し（情報資産台帳の作成）
それら情報資産に関する脅威や脆弱性、管理状況の特定
ITシステム等の利用状況と運用ルールの把握
重要度の評価
対応内容の策定と優先順位決定

昨今の企業活動においては、様々なリスクが潜在しています。
それらリスクを特定し、そのリスクを分析して影響度の算出を行い、具体的な対策の立案や対策の優先順位設定に活用していく事が重要なのですが、実施する上で留意すべき事項があります。

それは、リスクアセスメントに対する「組織としての取り組み方」を明確にして進めていくという点です。
「セキュリティ対策」と「業務における利便性」は、表裏一体という側面もあります。リスクを過剰評価し過ぎたあまり、現場の生産性が下がるといった事象は情報セキュリティマネジメントにおいて、しばしば耳にするものです。

このような事態が発生しないように、様々な目線でリスクを評価していく必要があります。
具体的には、セキュリティ対策は企業や組織の重要な経営課題だという事を認識し、経営層がリーダシップを取って推進する事です。

企業・組織として、経営層がリスクを認識し、現場の利便性や生産性も考慮した上で評価していくようにしてください。
場合によっては、「リスクを許容する」という対応が必要になる場面も出てくるかと思います。

以下にリスクアセスメント実施時の留意事項を掲載しておきます。

なお、前回もお伝えしましたが、サイバーセキュリティ対策とは、企業が保有する「情報」を保全する事に加えて、「情報システム」、「情報通信ネットワーク」の技術的安全管理措置を施こす事を指します。

これは、リスクアセスメントの際にも重要な考え方となりますが、外部からの悪意のある攻撃だけがリスクを発生させる訳ではないという点に留意してください。

従業員による情報持ち出しや不正送金などの内部不正の可能性、自然災害や大規模停電等の発生時の事業継続やデータ復元の必要性・実行性なども、リスクとして特定し分析する必要がります。

また、外部のクラウドサービスの利用や、外部ベンダー等の第三者への業務委託などがある場合にも、管理責任は委託元である自組織となるものもありますので、それらもリスクとして特定する事が必要です。

リスクへの考え方は、企業や組織が保有する情報の種類・量・内容、ITシステム等の利用状況、事業規模などにより異なり、大企業ともなれば膨大な量のリスクに対しての評価を行っていく必要があるかも知れません。
ただ、その後の具体的な対策立案に関わる重要な工程であるという事を意識し、しっかりと取り組むようにしてください。

3．是正計画の策定と実行

前項までのプロセスにて、対策を実施する範囲内での現状把握、リスクの抽出を実施しました。
ここからは是正計画の策定として、「あるべき姿」とのギャップを埋める為に実施する内容や優先順位、スケジュールなどを立案し、実際に推進していきます。

その前に、まず「あるべき姿」とは？という方もいらっしゃるかと思いますので、ご説明しておきます。

企業や組織によって、規範やルール・守るべきもの・優先されるものなどは、考え方が異なりますし、その答えは様々だと思います。
ただし、情報セキュリティマネジメントにおいての「あるべき姿」というのは、以下のような状態にある事を指します。

このように、「あるべき姿」というのは、単なる理想像でありません。
セキュリティに対する意識や対策レベルは高めつつも、各々の企業・組織の実態に沿った実現可能なルールである必要があり、それらが徹底されなければ意味がありません。

可視化したリスクをどのように軽減するのかを考える事は重要な要素ですが、リスクを過剰に評価し、厳しすぎるルールを制定した結果、現場の生産性の低下を招き、実態として誰もルールを守らなくなるという残念な話もよくあります。

まずは、有事の際の事業への影響、業務の実態との整合性など、広い視野で様々な側面から考えていく事が大切です。

セキュリティに関するお悩み、
当社にお気軽にご相談ください。

株式会社M&Kでは、サイバーセキュリティ対策に関する総合支援企業として、各種コンサルティング、セキュリティ診断サービスを提供しています。

情報セキュリティアセスメントサービス

貴社の情報セキュリティに関する現状の整備状況と運用状況の調査、潜在する脅威とリスクの可視化などを実施し、現在地点と今後のあるべき姿への助言・企画立案支援等を実施するサービスです。
組織のルール策定状況とその浸透度、必要文書の整備、情報システムへの技術的対策、物理的対策の実装と運用状況などを把握した上で、その後の対策強化への指標としてご活用頂けます。

情報セキュリティアセスメントサービスが提供する価値

情報セキュリティの対策立案に関するプロセスを自社対応のみで完結するのは、非常に困難です。
当社のような第三者機関によるコンサルティング等のご利用により以下のようなメリットがあります。