リスクに対応できるモニタリング技術とは − @IT情報マネジメント(情報元のブックマーク数)

リスクと脆弱性は絶えず変化する、これは大切。ISMSのリスク分析とかでも再リスク分析の際に要注意です。

リスク(脅威とぜい弱性)は絶えず変化する


 当たり前のことだが、リスク(脅威やぜい弱性)は絶えず変化する。

 しかし、この当たり前のことが現実では忘れられていることが少なくない。いままで平穏な生活を過ごしていた社員があるとき急に借金に追われるようになって、悪事を働くように脅されるといった話は、「まさかうちでは起こらないだろう」と済ませておいていいものだろうか。

リスクに対応できるモニタリング技術とは (1/2) - ITmedia エンタープライズ

これは大切。監査役や内部監査室もモニタリングは必要。

長年点検していない業務や、聖域のような形で第三者による評価が入っていないような部署はないだろうか。前回紹介した武田信玄の例のように、経営陣も例外にすべきではない。監査役であろうが、内部監査室であろうが、モニタリングは本来必要なのである。

リスクに対応できるモニタリング技術とは (1/2) - ITmedia エンタープライズ

バリデーションとベリフィケーション、検証(ベリフィケーション)は、既存の仕組みが正しく動作しているか、

それと、仕組み(規程)が正しいかという確認、両方が必要か。ふむ。

一般的なモニタリングの多くはベリフィケーション、主に“検証”と呼ばれる類型として実施されている。ベリフィケーションとは、ある目的を果たすために整備した仕組みが計画・設計した通りの効果を果たしているか“有効性”を確認するものだ。
これに対して、バリデーションとは、その目的に対して整備された仕組みがそもそも正しかったのか(妥当性)を確認するものである。ベリフィケーションが、「Are we building the product right?(正しく物を作っているか)」を問うものとすれば、バリデーションは、「Are we building the right product?(正しい物を作っているか)」を問うものである。

リスクに対応できるモニタリング技術とは (1/2) - ITmedia エンタープライズ

ウイルス対策不正アクセス防止では、新種のウイルスが検知されなかったとか、ファイアウォールが破られてしまったといった話が後を絶たない。しかし、当初導入したセキュリティ対策の有効性がいつのまにか低下しているというケースは、何もウイルス対策不正アクセス防止のような技術的対策に限られたものではない。

リスクに対応できるモニタリング技術とは (2/2) - ITmedia エンタープライズ

ここいいところです。情報漏洩でも教育を受けていなかったり危機感をなくしたりしていないか・・・

そういう意味で、会社の情報、どう守る?新進企業に学ぶ「ユニーク情報漏洩対策」 - ライフ - 日経トレンディネット(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★での大塚商会のライセンス制度は良いかもしれない。

セキュリティポリシーやセキュリティ教育、誓約書、契約書の締結、訪問受け付け、パソコンや媒体の持ち込み・持ち出しといった人的・組織的な取り組みにおいても、放置しておけばどんどん有効性を失っていく。
セキュリティ教育を例に挙げると、教育を受けていない新入社員がいたり、日常業務に追われて危機感をなくしてしまった社員が増えたりしていないだろうか。
せっかく作ったルールであっても、守らない者に対する警告がされないと、人はルールを守らなくてもいいんだと勝手な解釈をしてしまう。駅前の違法な駐輪などを見ればよく分かるだろう。

リスクに対応できるモニタリング技術とは (2/2) - ITmedia エンタープライズ

screenshot