それではまず始めに、セキュリティ診断を行うことの意義について考えてみましょう。セキュリティ診断を行うことは、情報システムにおける弱点、脆弱性を発見し、それを改善することでセキュリティレベルをアップする一連のサイクル、その第一歩といえます。いわば、システムリスクを発見することが目的です。
では、このシステムリスクを発見/改善しないとどういうことになるのか、ここでひとつ例を挙げてみましょう。たとえば、昨今のニュースを騒がせている情報漏洩事件ですが、その根本となる原因の多くはシステムリスクにあるのです。
このケースでは、数百万人規模の個人情報が流出し、その原因は内部犯による情報の持ち出しとされています。そしてそれは、個人情報の管理システムおよびその周辺システム、ルール設定などにおいて不備(=リスク)があったからなのです。
|
このように、システムリスクという穴が開いていたばかりに、億単位のお金やこれまで築いてきた信頼などが一気に流れ出てしまったということになります。この例からもわかるように、システムリスクには企業経営を危機に陥れるリスクと、莫大な金銭的リスクが潜んでいるのです。つまり、これからはシステムリスク=経営リスクと捉えなければなりません。また、そうした認識をもってシステムリスクを診断(可視化)することが、経営面でのリスクヘッジにもつながるのです。
|