ken703
リスクアセスメント実施していますか:有効性の高いリスクアセスメントのやり方を理解しよう!
リスクアセスメントにおける4つのプロセス 前のコラムではリスクと課題の違いを示しました。これで、リスクとは何か?について理解が深まったかと思います。そこで、ここから本題のリスクアセスメントの実施方法について説明します。 なお、前回のコラムで、リスクは業種や業務に関係しないで共通の概念ということを説明しましたが、当然ですが、ここから記述するリスクアセスメントの実施方法も業種や業務に関係せず共通です。このコラムは情報セキュリティ中心に書いていますが、他の業種・業務でも同じステップで実施してください。 リスクア ...
リスクアセスメント実施していますか:まずはリスクと課題の違いを理解しよう!
リスクアセスメントの重要性:全業種における効果的なリスク管理 読者のみなさまの会社ではリスクアセスメントを実施していますか? リスクとは、ある事象が起こった場合に生じる損失や悪影響の可能性を指します。そのため、リスクとはある特定の業種や業務だけに関係するものではなく、あらゆる業種や業務に関係しています。リスクアセスメントとは潜在的なリスクを特定し、その発生可能性と影響度を評価して、適切な対応策を策定する一連のプロセスです。有効なリスクアセスメントにより、企業や個人が直面する潜在的なリスクを理解し、それらを ...
CSIRT活動の実践と挑戦:企業内でのサイバーセキュリティ対応の現実
1.社内CSIRTの組成と運用:私の体験に基づく実践的なアプローチ このコラムをご覧の方はCSIRT(Computer Security Incident Response Team)をご存知でしょうか?CSIRTとはコンピューターシステムやネットワークがサイバー攻撃を受けた時などに対応する組織です。筆者は会社員時代、社内でCSIRTを組成し活動していた経験があります。組成したとは言っても専門組織ではありません。社内で情報セキュリティの推進を行っているチームや情報システム部門のスタッフなどを寄せ集めたバー ...
情報セキュリティ事故の報告: 透明性が企業の安全を保つ
情報セキュリティ事故報告の現実: 理想と現場のギャップに焦点を当てて 顧客企業でISMS(ISO27001)の審査を行っていると、いろいろな状況に出くわします。今日は、その中から情報セキュリティ事故が起こったときの報告の重要性についてつぶやいてみたいと思います。 読者の皆様の会社では、情報セキュリティ事故は年間に何件ほど発生しているでしょうか?筆者はISMSの審査時には情報セキュリティ事故については必ず質問しますが、組織の責任者の多くは、「当社ではここ数年にわたり情報セキュリティ事故は発生していません」と ...
情報セキュリティ事故から考えるリスクアセスメント
はじめに:情報セキュリティ事故の状況 顧客企業でISMS(ISO27001)の審査を行っていると、いろいろな状況に出くわします。 今日は、その中から情報セキュリティ事故についてつぶやいてみたいと思います。 読者の皆さんは情報セキュリティ事故というと、真っ先にサイバー攻撃を思い浮かべる人が多いのではないでしょうか?確かに、情報セキュリティ白書などを見てもサイバー攻撃による情報漏えいの手口や被害状況が多数報告されています。しかし、筆者が審査員として顧客企業を訪問し直近1年間の情報セキュリティ事故を教えてくださ ...
サイバーセキュリティ経営ガイドラインの活用
サイバーセキュリティ経営ガイドラインについて 「サイバーセキュリティ経営ガイドライン」は、2015年12月に経済産業省が公表した経営者向けのサイバーセキュリティにおける対策集です。筆者がこのガイドラインを初めて目にしたのは2016年1月で、当時は親会社で情報セキュリティの推進に従事しており、出向期間が満了し、自社に戻ったばかりの時でした。自社に戻ると、経営者(情報セキュリティ管理責任者)から、この新しいガイドラインについて調査し、必要に応じて対応するよう指示を受けました。 このガイドラインは経営者に向けた ...
DX推進に不可欠な情報セキュリティ教育:成功へのカギ
はじめに:情報セキュリティ教育の現状と課題 情報セキュリティの重要性は多くの企業で認識されているものの、実際に効果的な教育を行っている企業は意外に少ないと思われます。特に中小企業においては、専任の情報セキュリティ担当者がいないことが多く、教育の実施が後回しになってしまいがちです。一方で、デジタルトランスフォーメーション(DX)の推進には、組織全体のセキュリティリテラシーの向上が不可欠です。 情報セキュリティ教育の重要性 教育の目的と効果 情報セキュリティ教育は、従業員一人ひとりのリスク意識を高めることによ ...
デジタル変革を安全に推進する:DXと情報セキュリティの統合戦略
はじめに:DXとは何か? デジタルトランスフォーメーション(DX)は、テクノロジーを駆使してビジネスモデルを革新し、組織の業務プロセスや文化を根本から変える動きです。これには、クラウドコンピューティング、ビッグデータ、人工知能(AI)などの先進技術が活用されます。DXの目的は、企業が迅速に市場の変化に対応し、顧客の要望に柔軟に応える体制を築くことにあります。これにより、企業は競争上の優位性を保ち、持続可能な成長を達成することが可能となります。 DX推進における情報セキュリティの必要性 DXを推進する上で情 ...
生成AIの二面性: 多大な可能性と伴うリスクを理解し、賢く利用するためのガイド
はじめに: 生成AIの現状と基本的な利用シーン 近年の技術進化の中で、生成AIの発展は特に注目されています。言語モデルを活用したOpen AIのChatGPT、Microsoft EdgeのCopilot、GoogleのGeminiなどのプラットフォームが急速に普及しています。これらのAIはユーザーからのプロンプトに基づきテキストやコードを生成し、ビジネスの効率化、学習支援、エンターテイメントなど多方面で活用されています。生成AIの便利さとその応用の幅広さは、多くの人々に受け入れられていますが、その一方で ...
