2023.10.24
第3回 リスクアセスメントの本質/シリーズ②いまさら聞けないサイバーセキュリティの基本 ~対策の本質を理解する~
サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。
INDEX
【第3回】 リスクアセスメントの本質
『彼を知り己を知れば百戦殆うからず』のことわざは、セキュリティ対策にも当てはまります。第2回では、相手(攻撃者)がどういった動機を持ち、どういった手口で攻めてくるのか、まず「彼を知り」を説明しました。
続く第3回は、「己を知れば」です。自身にどのようなリスクがあるのか、その現状を把握します。そのためには、リスクアセスメントの実施が欠かせません。リスクの状況がどうあるかによって、求められる対策は変わってきます。リスクが高ければ、とても強固な対策が必要かもしれません。リスクが低ければ、特に現状のままで様子を見ることも考えられます。
リスクアセスメントには、「必要なセキュリティ対策は、リスクから導かれる」という本質があるのです。
よくある残念な対策の進め方
セキュリティ対策を行うにあたって、皆さんは何から手をつけますか?
よく聞く話として、
『ネットで検索して、評判の良い対策ソリューションを探す・・・』
『セキュリティベンダーに対策の提案を受ける・・・』
『ベストプラクティスとして紹介されている対策を検討する・・・』
などがあげられます。
決して間違えではありません。ただ、ちょっと考えていただきたいのです。
たとえば、ネットで評判の高いセキュリティ対策として、情報の漏洩や消失を防ぐための「DLP(Data Loss Prevention)」ソリューションが見つかったとします。とても機能が良さそうなので、その導入を進めますか?
もちろん、そのようなソリューションを導入するには、お金も手間もかかります。高価な対策ソリューションを、次々に導入するわけにはいきません。ましてや、せっかくの機能が活かしきれず、宝の持ち腐れになるのは最悪です。
わかりやすく言えば、渋滞のある街中を速く移動するために、サーキットを走るようなレーシングカーに乗ってしまうことです。スムーズに走れませんし、燃費は悪くメンテナンスも大変です。
実はそんな的外れな、セキュリティ対策になっているケースが少なくないのです。
リスクの把握が最初のスタート
本来、セキュリティ対策はなぜ必要なのでしょうか?
それは、そうした対策が必要となる「リスク」があるからです。リスクが低ければ、そもそも対策は必要ないかもしれません。きわめて当たり前のことです。先ほどのDLPソリューションでいうと、そうした対策を導入しないと守れないような、リスクの高い状況があるかどうかです。
業務上、慎重な取り扱いが求められる機密情報がなければ、従業員への教育や注意喚起で十分かもしれません。また、リスクの対象者が絞られるのであれば、情報へのアクセス権限を細分化することで、許容できるくらいにリスクを下げられるかもしれません。
そのような現状を把握するのが「リスクアセスメント」の実施です。
一般的にリスクアセスメントは、次の3つのプロセスで構成されます。
- リスクの特定
- リスクを見つけてそれを認識します。「不審なメールの添付ファイルを誤って開いてしまうことがある」といったことです。
- リスクの分析
- リスクの内容を把握してそのレベルを決めることです。脅威や脆弱性、影響度などを、数段階のレベルで示したりします。
- リスクの評価
- リスクの分析結果(リスク値)をリスクの受容基準と比較し、受容「する/しない」を決めます。受容とは、リスクを受け入れる(現状のままにする)ことです。
具体的な対策までの道のり
リスクアセスメントを実施した後、具体的なセキュリティ対策を検討する前に、もう1段階のステップがあります。それを、一般的に「リスク対応」といいます。
リスク対応とは、リスクアセスメントによるリスクの評価から、受容できない(リスク値が大きい)リスクがあった場合、必要な対策の方向性を決めることです。ここでは、次の4つの選択肢で説明します。
- ・低減
- リスク値の大きさを下げることです。受容できないリスクに対して、低減策(対策) を講じます。リスク対応の多くでは、この低減を選択します。
- ・回避
- リスクが起こることを止めることです。たとえば、テレワークに関するリスクであれば、テレワークそのものを禁止します。
- ・移転(共有)
- リスクを他に移すことです。たとえば、対象の業務を外部の専門業者へ委託するなどです。
- ・受容(保有)
- リスクをそのまま受け入れることです。リスク値が受容基準を満たす(リスク値が小さい)場合と同じです。リスク値が大きくても、現実的に低減などによる対策が難しいケースでは、そのリスクを十分認識した上で、あえてリスク対応で受容することがあります。
こうして、リスク対応として「低減」を選んだとします。受容できるレベルまでリスク値を下げるには、どういった対策が必要なのかを具体的に検討します。リスク値をゼロにすることはできませんし、そこを目指すのも現実的ではありません。
ちょっとした運用面の工夫で、お金をかけずにリスク値を下げられるかもしれません。また、高価な対策ソリューションを導入しないと、とてもリスク値を下げることが難しい場合もあります。
そうした対策の検討を、関係者でいろいろ議論することがとても重要です。そうすることで、自社を取り巻くリスクへの理解を深め、組織としてのセキュリティ意識が活性化し、継続的な改善が進みます。
ここに、セキュリティ対策の真髄があると考えます。
次回は
最終回では、セキュリティ対策を深掘りする際に拠り所となる、国際標準の活用を説明します。リスクアセスメントの結果から、具体的なセキュリティ対策を考える上での参考書になるはずです。サイバーセキュリティの基本に続く応用(さらなるステップ)に向け、その足がかりになれば幸いです。
1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。
シリーズ②いまさら聞けないサイバーセキュリティの基本
~対策の本質を理解する~
セキュリティブログ一覧へ
関連トピックス
-
ニュースリリース
2024.11.20
株式会社RITがAI技術活用の自動仕様書作成サービス「SPG-R」デモ動画を公開
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一)のグループ企業である株式会社RIT(本社:東京都中央区、代表取締役社長:安武遼太)は、レガシーシステムのブラックボックス化や、…
-
ニュースリリース
2024.11.13
生成AIモデルにGemini・Claude追加、新方式でRAG回答品質向上 【STiV新機能】
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)が提供するAI活用プラットフォーム「STiV(スティーブ)」は、生成AIのビジネス利用最適化を目指し、新…
-
お知らせ
2024.11.6
株式会社アペックスのコーポレートサイトリニューアル
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)のグループ企業である株式会社アペックス(本社: 東京都豊島区、代表取締役社長: 小鹿光雄、以下「アペックス」…
ファンリードに
お気軽にお問合せください。
サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。