今だから再認識したいセキュリティの原則 情報セキュリティ対応はリスクマネジメントの一要素

高度なセキュリティ対策を実施していると思われる組織であっても、遠く海外の攻撃者からインターネットを通じたサイバー攻撃により組織内部のネットワークに深く侵入され、重要な情報が搾取されたり、システムが止められたりすることが連日、報道されています。このような報道を目にして、いつ自分の組織がこのような事態になるかもしれないと考えている経営者は少なくないのではないでしょうか。経営のテクノロジーやサイバー空間への依存度がますます高まっている現在においては、それが適切な感覚と言えるでしょう。

サイバーセキュリティへの対応は、いつ、何が起こるかわからないという不確実性に対するマネジメントの一要素と言えます。毎年の初めに世界経済フォーラム(World Economic Forum)から発表される「グローバルリスク報告書」においても、サイバー攻撃は発生可能性が高いリスクとして常に注目されています。

サイバーセキュリティは組織が直面しているリスクの一要素であり、組織全体のリスクマネジメントと一体となって対応することが効果的です。サイバーセキュリティ対応のためだけに対策を行うと、別のリスクが増大することを見逃す可能性があります。あくまで全体のリスクの一部として考えることにより、組織全体のリスクやコストの低減につながっているかどうかという視点でセキュリティ対策を実施することができるようになります。

「情報資産の安全を確保する」という視点が重要

サイバーセキュリティの話題から始めましたが、セキュリティ対策で考えるべきは、サイバー空間からの攻撃への対処だけではありません。例えば自然災害時に組織内の情報の機密性を保持するといった、広く組織の情報資産(情報やそれを取り扱うシステムを含む)の安全を確保するという視点、つまり情報セキュリティの確立が重要です。情報は今や、ヒト、モノ、カネと同じく、組織の重要な資源と捉えられています。デジタル時代ならではのキーファクターに関するリスクマネジメントをいかにおこなっていくかが、企業活動の成否に結び付くと言っても過言ではありません(図表1)。

経営戦略や重要度を意識してリスクを把握する

とはいえ、組織に存在する情報セキュリティ上のリスクを全て網羅的に把握する必要はありません。重要なことは、セキュリティ対策を経営の一部に組み込み、どのように実施するかを決めることです。経営戦略上、力を入れている領域についての情報セキュリティをまずは適切に考える必要があります。現在はもちろん、将来のリスクへの備えもすることが重要だからです。

また、経営そのものへの影響度が非常に大きいリスクについても別途検討する必要があります。例えば、金融機関の顧客の信用情報の漏えいといったケースです。このような内容は発生可能性の大小や経営戦略との関連性の有無に関係なく、リスクが発現した場合の対策を考えておく必要があります。情報セキュリティ対策を考える上でのポイントは、全てを網羅的に把握しようとするのではなく、経営に影響を与え得る重要なリスクを漏れなく把握できるようにしておくことです。

リスクを脅威・脆弱性・価値の3つで考える

ここからは、情報セキュリティの管理をリスクマネジメントの枠組みで考えてみましょう。リスクは一般的に、「発生可能性」と「影響度」から、その重要性が順位付けされます。ここでは、発生可能性を「脅威」と「脆弱性」の2つに分解し、影響度を「価値」と言い換え、「脅威」、「脆弱性」、「価値」の3つの軸で、考慮すべき重要なリスクの洗い出し方を考えてみましょう。

まず「脅威」ですが、これはインシデントの潜在的な要因です。情報セキュリティの分野では、自然災害といった「環境的要因」、人的なミスといった「誤謬による要因」、内部者による不正行為、外部からのサイバー攻撃といった「意図的な要因」の3つに分けて整理すると、起こり得る事象の多くを把握することができます。

インシデントを発生させるもう一つの側面として「脆弱性」が挙げられます。これは、脅威に対する対策の不備とも言えます。例えば、「落雷対策をしていない」、「データファイルへのアクセス制御が設定されていない」、「データのバックアップが取られていない」などが考えられます。

脅威と脆弱性が合わさって、リスクがどの程度の可能性で発現するかが決まります。ただし、それはあくまで概念的な話です。同一環境での事象の発生頻度が少なすぎるために統計的な分析はできないことが多いため、ほとんどの場合は、過去の対応を参考にしたり、専門家の知見を取り入れたりしながら、リスクの発生可能性を感覚的に判断せざるを得ません(もちろん、統計的に分析できる場合は統計的に分析するほうが好ましい)。

「価値」は、組織に与える影響度と考えられます。情報資産の価値は、会計的な価値だけではなく、ブランド価値といったものも含まれます。そのため、価値を正確に金額として見積もることは難しいと言えます。例えば、顧客データの漏えいは企業の会計的な価値のみならず、ブランド価値を損ねる重大なインシデントです。ただ、同時期に他の企業で同様の事故が起こったり、他に大きな事件があってメディアであまり取り上げられなかったりすると、価値への影響度が変わります。このため、その時々に応じて価値を測っていく必要があるでしょう。

実際の情報セキュリティ対策はカタログベースから始めるのが効率的

上記の手法で重要な情報セキュリティリスクを理解したら、リスクに応じた対策をすることが必要です。考えられるリスクと関連する情報資産を洗い出し、脅威、脆弱性、価値の観点からリスクを計算し、脆弱性を埋める対策を考え、それによりリスクが許容範囲を下回る状態になっているかを確認する、という手順です。既に説明したように、リスクの発生可能性もその影響度も正確に見積もれない以上、リスクの計算を厳密にしようとするのは無理があり、費用対効果の点からやるべきではないでしょう。多くの組織で実践しているセキュリティ対策のプラクティス(JIS Q 27001、NIST SP 800-53など)がありますから、それをベースに対策を決め、対策に過不足があればその部分だけをリスク評価をした上で変更するというのが、実務的な進め方となるでしょう。いわゆるベースラインアプローチという方法です。

祇是未在 ― 適時の対策の見直しこそ重要

どのような情報セキュリティ対策を実施すればよいかを決めることは、簡単ではありません。統計的な分析を基礎とした対策を立案できないこと、環境変化が早いためリスクが常に変化すること、技術進歩が早く対策の技術も変化するというのが理由です。具体的には、長年使っていたソフトウェアに今まで知られていなかった脆弱性が発見されたり、社会情勢により個人情報の漏えいがよりシビアに見られるようになったり、従来では高額で手が出なかった対策が安価でできるサービスが提供され始めたりする、といったことが挙げられます。企業や組織においては、これらの要因によって引き起こされる脅威、脆弱性、価値および対策の変化を継続的に把握しておくことが重要です。

このような環境変化が常にある領域では、OODAループ*1を意識した意思決定と行動が重要です。年に1度、定期的にリスクを見直すことも重要ですが、リスクの変化を継続的に把握し、適時の対応ができるようにしておくことも併せて重要となります。現場レベルでは、イベントに応じて対策を適時に見直し、マネジメント全体では年に1度の見直しを行う、といったすみ分けがよいでしょう。

情報セキュリティを管理する上では、常に変化する環境の中で、リスクマネジメントの一環としての意思決定が求められます。ワンショットの正解を求めるというよりも、常に正解に近付いていくという姿勢で取り組むのがよいと考えます。常に変化を意識し、適時に適切な対策ができるような体制を整え、実施することが重要と言えます。

「祇是未在(ただこれみざい)」――。セキュリティ対策に完成はありません。正解を追い求める姿勢こそ重要です。

*1意思決定と行動に関する理論の1つ。元々は航空戦を行う際のパイロットの意思決定を対象とし、ジョン・ボイド米空軍大佐により提唱されたものを一般化したもので、現在は軍事領域のみならず経営も含めてさまざまな場面で活用されている。観察(Observe)- 情勢への適応(Orient)- 意思決定(Decide)- 行動(Act)のループによって、健全な意思決定を実現することができるという考え方。

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}