月別アーカイブ: 2021年 1月

リスクアセスメントの手法とメリット・デメリット

ISMSの取り組みにおいて行うリスクアセスメントですが、一口にリスクアセスメントといっても実は様々な手法が存在しています。 そもそもリスクアセスメントとは?という方は、「ISMS規格をわかりやすく解読する【6.計画(前編 …

OSやソフトウェアのアップデートが望まれる理由は?

PCやモバイル端末、ソフトウェアなどを利用していると、「アップデートしてください」という通知が来ることがあるでしょう。 アップデートを行うとなると、一定時間PCやモバイル端末が利用できなくなる、無駄に通信量が増加してしま …

情報セキュリティの敵は外部の脅威や悪意のある何者かだけではない

情報セキュリティについて考える際に、まずはじめに「外部に多くの脅威が存在し、また、内部の脅威も悪意を持った何者かであり、その脅威から身を守らなくては!」という想いを持たれている方も多いのではないでしょうか。もちろん外部に …

情報セキュリティには情報のCIA以外の要素も存在している!

ISMSのIS部分にあたる「情報セキュリティ(information security)」とはそもそもどういう意味でしょう。情報セキュリティについて、ISMSの土台となる規格の用語について定義したJIS Q 27000に …

情報セキュリティのための方針群ってなに?

ISMSの土台でもある規格、JIS Q 27001の附属書Aの5章で「情報セキュリティのための方針群」という言葉が登場します。一方で、JIS Q27001規格本文の5章では「方針」という言葉が登場します。 「方針」と「方 …

リスクは低減するだけが選択肢ではない

ISMSの取り組みでは、リスクアセスメント(リスクの特定~評価)と併せて、それぞれのリスクに対してどのように対応していくか判断することも必要になります。 その上で、リスクと聞くと、何か対応して抑えなければならないと思われ …

「文書化した情報」=「文章化された情報」ではない

ISMSの規格JIS Q 27001では「文書化した情報」という言葉が登場します。 この言葉、一見、何か文字で書き起こされた、いわゆる「文章化された」ものでないといけないと思っている方もいるのではないでしょうか。しかし、 …

業務の観点からリスクを洗い出してみる②

はじめに 前回は、業務の観点からリスクを洗い出すことのメリットデメリットについて整理しました。 (参考:業務の観点からリスクを洗い出してみる①) しかし、いくらメリットを感じたところで、実際の方法のイメージが湧かなければ …

業務の観点からリスクを洗い出してみる①

はじめに ISMSのメインの取り組みのひとつとして、リスクアセスメントが挙げられます。リスクアセスメントには管理策などを基に現状のルールなどと比較しながら対応を検討する方法や、洗い出した情報資産を基にリスクを検討する方法 …

そもそも情報資産ってなんだろう?

はじめに 「情報資産」。ISMSの取り組みを行っていく上で、必ず耳にすることになる言葉でしょう。また、この情報資産を洗い出すという作業は、ISMSの取り組みの中でもトップレベルに重要な取り組みのひとつと言えます。だからこ …

「2021年セキュリティ脅威予測」を読んで①

カテゴリー: 情報セキュリティ

2020年は、新型コロナウイルスの影響でテレワークが当たり前になり、企業が取るべきセキュリティ対策も大きく変化しました。 境界型セキュリティ(ファイアウォールなどのセキュリティ措置を施すことで、社内と社外の接点で侵入を防 …