BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース SOAと情報リスク管理

SOAと情報リスク管理

ブックマーク

原文(投稿日:2010/12/17)へのリンク

経験豊富なIBMのSOA熟練者Clive Gee氏は、ITがネットワークの安全を担保する方法がどのように発展して、氏が情報リスク管理と呼ぶものになったかについて 記している。アプリケーション統合とサービス指向システムによってコラボレーションの場が増大するにつれて、出現頻度が増え続ける脅威と脆弱性に対してのリスク管理について調べている。 

SOAは情報資産をずっと容易に幅広い人々に公開するため、情報資産に関連するリスクを増大させている。このことはビジネス運用上は恩恵が多い一方、セキュリティやリスク管理の専門家にとっては大きな懸念となる一因である。SOAガバナンスチームがリスク管理チームとパートナーを組み、SOAによってもたらされ増え続けているリスクについてアセスメントを実施することは非常に重要なことである。

リスクを管理するには、脆弱性、脅威、リスク発現の可能性、リスクが現実のものとなったときの影響を理解する必要がある。最終的にリスクを回避するか、受容するか、低減するか、転嫁するかの決定がなされる。リスク管理実践者はリスクを管理するコストとそれが関連する機会のコストに対して、リスクが現実になった場合の企業の潜在的コストを測っておかねばならない。

脅威と脆弱性をより深く観察することで、彼は適切な安全装置なしには情報が漏洩する可能性がすでにあると警告している。

[…] 情報は適切なコントロールなしには、犯罪行為がない場合でさえ、権限のない人々にさらされるリスクがある。容易かつ広く情報を共有することのビジネス上のメリットは、もし間違った情報によって侵害されたら急速になくなってしまうでだろう。

リスクアセスメントでは、攻撃に対して脆弱な情報の種類とそれらに対する潜在的脅威を掌握し一覧にすることを行うべきだ。いったん脅威が一覧にできれば、発生の確率や潜在的影響度に応じてアセスメントしたり分類したりすることが可能である。

氏は次のように脆弱性を分類している。

  • 知的財産権(IP) – […] ある企業のビジネスの性質によって、IPは企業のもっと価値ある資産であったり、最低でもその競合に重大な影響を与えるものであったりする。
  • 法規制の順守 -- 組織が関連する法律や規則を遵守すること(または、そのための統制を実装するコストに対して つかまったときに課せられるペナルティを管理すること)を確実にすること。[…] そのような規制を破ることは、結果的に大きな罰金、制裁が課せられることになり、ビジネスの機会損失につながる。
  • ビジネスの関係性 -- 情報は、今日の経済においてはBtoBやBtoCの関係性の中心である。企業は顧客の個人データや金融データを保護しなければならない。そして、ビジネスパートナーと情報を安全かつコスト効率よく交換しなければならない。

[…] そして、脅威を次のように分類している。

  • 自然の脅威 - 台風、洪水、地震など。
  • 環境的脅威 - 停電、水害、公害など。
  • 人間的脅威 -- 産業スパイ、ウイルス感染、DoS攻撃など。


氏はリスク管理の懸念事項を一覧にして、それらを例えば機密性(Confidentiality)、認証(Authentication)、承認(Authorization)といったアプリケーション層上のアーキテクチャスタックにおいて、様々なレベルで低減する種々のフレームワークやプロセスについて議論している。物理的な建物を未承認のアクセスから防ぐこと、種々の開発プロセス、運用手続きなどである。氏は、リスク管理のレベルを確立するためのセキュリティ分類スキームを定めている。それは、情報を公開(Public)、機密(Sensitive)、極秘(Confidential)、非公開(Private)のように識別し、情報リスク管理の必須な一部として、ポリシーやコンプライアンスの枠組みを通じて統制を確立するためのプロセスの利用法を提言している。氏が推薦する統制は次のようなものだ。

[…]

管理上の統制 - 情報リスクの懸念を管理運営するポリシー、手続き、標準、ガイドラインの定義と管理

運用上の統制 - 管理上の統制を実装し、実施すること。

監査による統制 - 管理上の統制の遵守の確認と、運用上の統制の効率性の確認。

ビジネス継続性と災害からの復旧 - 停電、自然災害、その他の混乱などの出来事のなかでのビジネスが継続的に運用できるよう確保することがビジネス継続性プログラムの目的である。

[…]

Clive氏はこのような先導的活動の成功の鍵は組織のステークホルダーの賛同にあり、それを支援する組織構造なしにリスク低減行動を成功裡に実行することは不可能であると、何度も繰り返している。氏は、“いったん私たちが情報リスク管理の懸念とそれらに取り組むために必要な習慣を理解すれば、それらの実施に必要な組織構造が実際に存在することを確保しなければならない。”と述べている。

たいていの大規模な先導的活動と同様に、組織の取締役会や執行役員会はリスク管理組織を支援し資金を提供しなければならない。リスク管理ポリシーや手続きが全体の目的や戦略に沿っていることを確実にしなければならないのである。

氏は記事の最後に次のように強調する。組織のその構成員の昇進、異動、退職による変化にともなって、情報アクセスコントロールの権限は再確認されなければならないし、そのたびごとに適切な行動がとられなければならない。

オリジナル記事はSOA magazineで、オンライン上公開されている。オリジナル記事をチェックして、あなたの体験をフォーラム上でコミュニティと共有して欲しい。

この記事に星をつける

おすすめ度
スタイル

BT