デジタル技術でお客様に驚きや感動を

第3回 リスクアセスメントの本質/シリーズ②いまさら聞けないサイバーセキュリティの基本 ~対策の本質を理解する~

サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。

セキュリティブログ

【第3回】 リスクアセスメントの本質

『彼を知り己を知れば百戦殆うからず』のことわざは、セキュリティ対策にも当てはまります。第2回では、相手(攻撃者)がどういった動機を持ち、どういった手口で攻めてくるのか、まず「彼を知り」を説明しました。
続く第3回は、「己を知れば」です。自身にどのようなリスクがあるのか、その現状を把握します。そのためには、リスクアセスメントの実施が欠かせません。リスクの状況がどうあるかによって、求められる対策は変わってきます。リスクが高ければ、とても強固な対策が必要かもしれません。リスクが低ければ、特に現状のままで様子を見ることも考えられます。
リスクアセスメントには、「必要なセキュリティ対策は、リスクから導かれる」という本質があるのです。

よくある残念な対策の進め方

セキュリティ対策を行うにあたって、皆さんは何から手をつけますか?
よく聞く話として、
『ネットで検索して、評判の良い対策ソリューションを探す・・・』
『セキュリティベンダーに対策の提案を受ける・・・』
『ベストプラクティスとして紹介されている対策を検討する・・・』
などがあげられます。
決して間違えではありません。ただ、ちょっと考えていただきたいのです。

たとえば、ネットで評判の高いセキュリティ対策として、情報の漏洩や消失を防ぐための「DLP(Data Loss Prevention)」ソリューションが見つかったとします。とても機能が良さそうなので、その導入を進めますか?
もちろん、そのようなソリューションを導入するには、お金も手間もかかります。高価な対策ソリューションを、次々に導入するわけにはいきません。ましてや、せっかくの機能が活かしきれず、宝の持ち腐れになるのは最悪です。
わかりやすく言えば、渋滞のある街中を速く移動するために、サーキットを走るようなレーシングカーに乗ってしまうことです。スムーズに走れませんし、燃費は悪くメンテナンスも大変です。
実はそんな的外れな、セキュリティ対策になっているケースが少なくないのです。

リスクの把握が最初のスタート

本来、セキュリティ対策はなぜ必要なのでしょうか?
それは、そうした対策が必要となる「リスク」があるからです。リスクが低ければ、そもそも対策は必要ないかもしれません。きわめて当たり前のことです。先ほどのDLPソリューションでいうと、そうした対策を導入しないと守れないような、リスクの高い状況があるかどうかです。

業務上、慎重な取り扱いが求められる機密情報がなければ、従業員への教育や注意喚起で十分かもしれません。また、リスクの対象者が絞られるのであれば、情報へのアクセス権限を細分化することで、許容できるくらいにリスクを下げられるかもしれません。
そのような現状を把握するのが「リスクアセスメント」の実施です。

一般的にリスクアセスメントは、次の3つのプロセスで構成されます。

リスクの特定
リスクを見つけてそれを認識します。「不審なメールの添付ファイルを誤って開いてしまうことがある」といったことです。
リスクの分析
リスクの内容を把握してそのレベルを決めることです。脅威や脆弱性、影響度などを、数段階のレベルで示したりします。
リスクの評価
リスクの分析結果(リスク値)をリスクの受容基準と比較し、受容「する/しない」を決めます。受容とは、リスクを受け入れる(現状のままにする)ことです。

具体的な対策までの道のり

リスクアセスメントを実施した後、具体的なセキュリティ対策を検討する前に、もう1段階のステップがあります。それを、一般的に「リスク対応」といいます。
リスク対応とは、リスクアセスメントによるリスクの評価から、受容できない(リスク値が大きい)リスクがあった場合、必要な対策の方向性を決めることです。ここでは、次の4つの選択肢で説明します。

・低減
リスク値の大きさを下げることです。受容できないリスクに対して、低減策(対策) を講じます。リスク対応の多くでは、この低減を選択します。
・回避
リスクが起こることを止めることです。たとえば、テレワークに関するリスクであれば、テレワークそのものを禁止します。
・移転(共有)
リスクを他に移すことです。たとえば、対象の業務を外部の専門業者へ委託するなどです。
・受容(保有)
リスクをそのまま受け入れることです。リスク値が受容基準を満たす(リスク値が小さい)場合と同じです。リスク値が大きくても、現実的に低減などによる対策が難しいケースでは、そのリスクを十分認識した上で、あえてリスク対応で受容することがあります。

こうして、リスク対応として「低減」を選んだとします。受容できるレベルまでリスク値を下げるには、どういった対策が必要なのかを具体的に検討します。リスク値をゼロにすることはできませんし、そこを目指すのも現実的ではありません。
ちょっとした運用面の工夫で、お金をかけずにリスク値を下げられるかもしれません。また、高価な対策ソリューションを導入しないと、とてもリスク値を下げることが難しい場合もあります。

そうした対策の検討を、関係者でいろいろ議論することがとても重要です。そうすることで、自社を取り巻くリスクへの理解を深め、組織としてのセキュリティ意識が活性化し、継続的な改善が進みます。
ここに、セキュリティ対策の真髄があると考えます。

次回は

最終回では、セキュリティ対策を深掘りする際に拠り所となる、国際標準の活用を説明します。リスクアセスメントの結果から、具体的なセキュリティ対策を考える上での参考書になるはずです。サイバーセキュリティの基本に続く応用(さらなるステップ)に向け、その足がかりになれば幸いです。

Writer

福田 敏博(ふくだ としひろ)

株式会社ファンリード 顧問(セキュリティ担当)
株式会社ビジネスアジリティ 代表取締役社長

1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。

ファンリードに
お気軽にお問合せください。

サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。

ページトップへ