弊社ではリスク分析サービスに力を入れていますが、このリスク分析は、セキュリティ上行う事が必要となるタイミングがあると考えています。つまり、どんなお客様に対しても今すぐ分析しましょう、とはならないという事です。
リスク分析を行う事でセキュリティを強固にする事が出来ますが、ゼロから固めるプロセスで利用するというより、固めたセキュリティの穴を探るのに用いるのがより効果的です。(勿論新規の婦プランニング時点に行うのも良いですが)
つまり、アンチウィルスの導入やパスワードの強化など、基本的なセキュリティ対策がまだなされていない状態のお客様がリスク分析を行っても、その分析結果はやはりそれら未対策のセキュリティ強化に帰着するからです。
一方で、既にある程度セキュリティ対策を施していて、それらが守るべき資産の保護のために有効に機能するのか、漏れが無いかを確認するために、リスク分析は最も効果を発揮するものと考えています。特に、我が社は万全、とお考えになっているお客様であっても、専門的な視点からは色々とほころびが見える場合があります。例えば、ペネトレーションテスト(侵入テスト)を実施した所、辞書にあるパスワードで簡単に侵入された、というケースなど、高額な投資の割に結果はありきたりなものだった、というような話もあります。まるでレーシングカーでコンビニに買い物に行く様なものというのでしょうか。
リスク分析を行うべきかの目安は、まず基本的なセキュリティ対策が出来ているのかという事になると思います。出来ていないというのであれば、例えば、IPAのセキュリティアクションや、JP-CERTのJ-CLICKSなどのチェックリスト等を参考に、まずは基本的なセキュリティ対策をご検討ください。
その結果、まずまず対策は出来ていると思われる、さぁあと何が足りない?あるいは、この対策は守るべき資産の保護に有効か?という事が考えられる段階になってから行うのが良いと思います。その段階では、リスク分析は無駄な対策コストを減らし実効的な対策を検討するのに有効活用できると思います。
特に、事業被害ベースのリスク分析は、シナリオベースの分析であるため、セキュリティ対策が脅威が発生するシナリオに対してどのように働くのかを検討するのに有効利用できると考えています。
専門知識の部分は弊社がお手伝いできます。
