サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。
リスクアセスメントの本質
『彼を知り己を知れば百戦殆うからず』のことわざは、セキュリティ対策にも当てはまります。第2回では、相手(攻撃者)がどういった動機を持ち、どういった手口で攻めてくるのか、まず「彼を知り」を説明しました。
続く第3回は、「己を知れば」です。自身にどのようなリスクがあるのか、その現状を把握します。そのためには、リスクアセスメントの実施が欠かせません。リスクの状況がどうあるかによって、求められる対策は変わってきます。リスクが高ければ、とても強固な対策が必要かもしれません。リスクが低ければ、特に現状のままで様子を見ることも考えられます。
リスクアセスメントには、「必要なセキュリティ対策は、リスクから導かれる」という本質があるのです。
よくある残念な対策の進め方
セキュリティ対策を行うにあたって、皆さんは何から手をつけますか?
よく聞く話として、
『ネットで検索して、評判の良い対策ソリューションを探す・・・』
『セキュリティベンダーに対策の提案を受ける・・・』
『ベストプラクティスとして紹介されている対策を検討する・・・』
などがあげられます。
決して間違えではありません。ただ、ちょっと考えていただきたいのです。
たとえば、ネットで評判の高いセキュリティ対策として、情報の漏洩や消失を防ぐための「DLP(Data Loss Prevention)」ソリューションが見つかったとします。とても機能が良さそうなので、その導入を進めますか?
もちろん、そのようなソリューションを導入するには、お金も手間もかかります。高価な対策ソリューションを、次々に導入するわけにはいきません。ましてや、せっかくの機能が活かしきれず、宝の持ち腐れになるのは最悪です。
わかりやすく言えば、渋滞のある街中を速く移動するために、サーキットを走るようなレーシングカーに乗ってしまうことです。スムーズに走れませんし、燃費は悪くメンテナンスも大変です。
実はそんな的外れな、セキュリティ対策になっているケースが少なくないのです。
リスクの把握が最初のスタート
本来、セキュリティ対策はなぜ必要なのでしょうか?
それは、そうした対策が必要となる「リスク」があるからです。リスクが低ければ、そもそも対策は必要ないかもしれません。きわめて当たり前のことです。先ほどのDLPソリューションでいうと、そうした対策を導入しないと守れないような、リスクの高い状況があるかどうかです。
業務上、慎重な取り扱いが求められる機密情報がなければ、従業員への教育や注意喚起で十分かもしれません。また、リスクの対象者が絞られるのであれば、情報へのアクセス権限を細分化することで、許容できるくらいにリスクを下げられるかもしれません。
そのような現状を把握するのが「リスクアセスメント」の実施です。
一般的にリスクアセスメントは、次の3つのプロセスで構成されます。
- リスクの特定
リスクを見つけてそれを認識します。「不審なメールの添付ファイルを誤って開いてしまうことがある」といったことです。
- リスクの分析
リスクの内容を把握してそのレベルを決めることです。脅威や脆弱性、影響度などを、数段階のレベルで示したりします。
- リスクの評価
リスクの分析結果(リスク値)をリスクの受容基準と比較し、受容「する/しない」を決めます。受容とは、リスクを受け入れる(現状のままにする)ことです。
具体的な対策までの道のり
リスクアセスメントを実施した後、具体的なセキュリティ対策を検討する前に、もう1段階のステップがあります。それを、一般的に「リスク対応」といいます。
リスク対応とは、リスクアセスメントによるリスクの評価から、受容できない(リスク値が大きい)リスクがあった場合、必要な対策の方向性を決めることです。ここでは、次の4つの選択肢で説明します。
- 低減
リスク値の大きさを下げることです。受容できないリスクに対して、低減策(対策) を講じます。リスク対応の多くでは、この低減を選択します。
- 回避
リスクが起こることを止めることです。たとえば、テレワークに関するリスクであれば、テレワークそのものを禁止します。
- 移転(共有)
リスクを他に移すことです。たとえば、対象の業務を外部の専門業者へ委託するなどです。
- 受容(保有)
リスクをそのまま受け入れることです。リスク値が受容基準を満たす(リスク値が小さい)場合と同じです。リスク値が大きくても、現実的に低減などによる対策が難しいケースでは、そのリスクを十分認識した上で、あえてリスク対応で受容することがあります。
こうして、リスク対応として「低減」を選んだとします。受容できるレベルまでリスク値を下げるには、どういった対策が必要なのかを具体的に検討します。リスク値をゼロにすることはできませんし、そこを目指すのも現実的ではありません。
ちょっとした運用面の工夫で、お金をかけずにリスク値を下げられるかもしれません。また、高価な対策ソリューションを導入しないと、とてもリスク値を下げることが難しい場合もあります。
そうした対策の検討を、関係者でいろいろ議論することがとても重要です。そうすることで、自社を取り巻くリスクへの理解を深め、組織としてのセキュリティ意識が活性化し、継続的な改善が進みます。
ここに、セキュリティ対策の真髄があると考えます。
次回は
最終回では、セキュリティ対策を深掘りする際に拠り所となる、国際標準の活用を説明します。リスクアセスメントの結果から、具体的なセキュリティ対策を考える上での参考書になるはずです。サイバーセキュリティの基本に続く応用(さらなるステップ)に向け、その足がかりになれば幸いです。