「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 リスクマップから考えるセキュリティ対策
情報セキュリティ対策はリスク対策の一部です。したがって、セキュリティ対策をリスク対応の設計の考え方を使って整理するのは有益です。
リスク対応を考える場合、組織に存在するリスクを整理するために横軸にリスクの発生可能性、縦軸にリスクが顕在化した場合の影響度を表した図を用いる場合があります(図表1)。これは「リスクマップ」とも言われます。例えば「ハッキングによる個人情報の漏えい」と「機器故障による事業システムの停止」というリスクがある場合、どちらのリスクが大きく、対策を優先させるべきかをリスクマップを使って検討することで、より理解しやすくなります。また、発生可能性が高いリスクと判断すれば、リスクが顕在化することを予防する対策を優先すべきということになりますし、影響度が依然として高いままであると判断した場合は、さらに追加の事後的な対策を検討すべき、ということにつながります。
セキュリティ対策の基本は予防的対策
それではここからは、具体的にどのようなリスクに対してどのようなリスク対策が有効なのかを、リスクマップを使って説明していきましょう。セキュリティに限らずリスク対策は、リスクが顕在化することを予防する対策が基本となります。理由は、一般的に、リスクが顕在化した後に対策を打つほうが、予防的な対策よりも費用対効果が低いからです。顕在化するリスクの中には滅多に起こらないことが含まれていることも多く、慣れないオペレーションを強いられて対応を誤る可能性が高かったり、評判リスクなどのコントロールが難しいリスクがあったりします。したがって、リスク低減を考える場合は、できる限り予防的な対策を優先して採用することが有益です(図表2)。実際に、情報セキュリティ対策のプラクティス集として広く利用されているISO/IEC 27002や米国のNIST SP800-53などに列挙されている対策も、そのほとんどが予防的な対策となっています。
影響度が大きいリスクについては事後的な対策が必須
一般的には予防的な対策が中心になるとしても、損害額が大きくなると想定されるリスクについては、顕在化した後の対策を十分に行い、許容できる水準までリスクを低減する必要があります(図表3)。例えば、機器の故障により販売管理システムが停止し、一切の販売ができなくなったとしましょう。復旧の目処が立たないとなると、風評リスクも含めて損害は多額に上ります。しかし、機器の故障自体を機器の利用者がコントロールすることは難しいですから、故障した場合でも損害が広がらないような対策をあらかじめ考えておく必要があります。具体的には二重化や復旧の訓練の実施などが考えられます。いわゆる危機対応と言われるもので、リスクが顕在化した場合の損害を低減するために、一般的に事業継続計画などを立てて対策をすることになります。
リスク対策に経済合理性がない場合はリスク回避
リスク対策を行う上では、費用対効果の見極めが非常に重要です。発生可能性が高く、かつ影響度が大きいリスクに直面した場合、許容できる範囲までリスクを低減するために多額のコストがかかり、事業によってそれを上回る収益を見込むことが期待できないことも少なくありません。図表4は、横軸を対策費用、縦軸を対策費用と残存リスクの総量とし、対策にどれだけの費用をかければリスクを低減させ、それを上回る収益を期待できるかを図式したもので、どのような対策をしても費用と残存リスクの総量が期待収益を下回らない状況を示しています。このような場合は、「その行為自体をしない」というリスク回避、つまり事業をそもそも始めない、あるいは始めていた事業を撤退するという判断が賢明ということになります。
キャッシュフローを補う必要がある場合はセキュリティ保険も考える
リスク対策としては、不確実性を減らすという意味で保険も有効な手段の1つです。近年、サイバー保険や個人情報漏えい保険といった、損害賠償保険の1つと言える商品が話題になっています。セキュリティインシデントにより突発的に多額の資金が必要になる場合は多く、そのような手当てを保険で行うことは、資金が十分でない企業や、利益を計画値から乖離させたくない企業には有益な対策と言えるでしょう(図表5)。資金が十分にある企業であれば、自社の利益の中から一定額を引き当てておくという方法(いわゆる自己保険)という方法もあり得ます。
受容し、あえてリスクを保有する選択肢も
時間的な制約、技術的な制約、費用的な制約から、追加のリスク対策をしないことが合理的な場合もあり得ます。
図表6のような場合、対策費用と残存リスクの総量を許容できる範囲まで下げるには、bまで対策を打つ必要があります。しかし、さまざまな制約による都合上、aまでしか対策を打つことができなかったとします。この場合、リスクを許容リスク水準まで低減することができていませんが、aを最適対策点と判断し、結果的にa-bのリスクを受容することになります。こうした状況に置かれる場合は、許容水準を上回るリスクを組織が抱えていることを常に意識し、リスクが顕在化した時に、想定以上の損害を発生させないようにすることが肝要です。
セキュリティ対策は数学であり、芸術である
ここまで見てきたように、リスク対策をどのようにすればよいかは、ある程度まで論理的に整理することができます。このような整理を行うことにより、効率的かつ有効なリスク対策を練ることが机上では可能となります。しかしながら、リスクの発生可能性やリスクが顕在化した場合の影響度を厳密に見積もることはできません。適切な解を求めるために必要な情報が常に揃っているという状況は考えづらく、セキュリティ担当者は、不確実かつ不十分な情報の中で意思決定を迫られることになります。予防策をできる限り論理的に考え、最後は実務に裏打ちされた経験と感性を加味し、都度判断を下していく――。セキュリティ対策は数学であり、芸術であるとも言えるでしょう。
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
