技術論文 2009年7月発表セキュリティマネジメント高度化サービス

要旨

情報資産の安全性を脅かすセキュリティ脅威は年々複雑多様化しており、情報システム管理者には、セキュリティ対策を情報システム全体に漏れなく実施し、情報資産の安全性を維持管理して行く事が求められている。しかし、各種対策は情報システムの構成要素毎に個別管理されており、情報システム全体を俯瞰した対策の網羅性や妥当性を把握することができないという課題を抱えている。

三菱電機インフォメーションシステムズ（株）（MDIS）では、本稿に記載するセキュリティマネジメント高度化サービスを三菱電機（株）情報技術総合研究所と共同で創出し、大手金融機関を中心にこのサービスの導入を推進している。

このサービスは、情報システム全体のセキュリティ対策の網羅性、妥当性を評価・分析するためのマネジメントサービスである。情報セキュリティ対策の実施強度を表す指標を、対策箇所と脅威を軸とした二次元マップを使って“見える化”して、システム全体を俯瞰した対策を評価・分析するところに特長がある。満たすべきセキュリティ水準をベースラインとして管理し、実態調査結果とベースラインとのギャップ分析に基づいて乖離する対策項目を漏れなく抽出することで、情報セキュリティ対策の実施強度を定量的に評価し、必要な施策を明確にしていく。

また、脅威の変化、法制度の改定、経営要求の変化に迅速に対応するために、セキュリティマネジメントのPDCAサイクルを確立することで、セキュリティ対策の実施水準を継続的に維持管理することができる。