サイバーセキュリティが叫ばれて久しい昨今。セキュリティ対策の重要性を認識しつつも、今一つ前向きに取り組めないのも事実です。しかしながら、サイバー攻撃の被害は計り知れないインパクトを与える可能性があります。
本コラムでは、サイバーセキュリティを事業継続とレピュテーションの面から経営リスクとして捉え、計4回にわたって対策の重要性に迫ります。
求めたれるリーダーシップ
前回、サイバー攻撃による被害の影響は、セキュリティリスクがレピュテーションリスク(風評リスク)へつながると、よりインパクトが大きくなることをお伝えしました。
本テーマの最終回(第4回)では、そうしたリスクを認識しながらも、実際のところセキュリティ対策が思ったように進まないのはなぜか、その本質に迫ります。
セキュリティ対策の現状は
仮に皆さんが、社内でセキュリティ担当者の立場だったとします。どストレートに、「どうしてセキュリティ対策が必要なのですか?」と質問されたら、どう返答しますか。「いきなりそんなこと聞かれても・・・」なんて、戸惑うかもしれません。
たとえば、こんな答えがよくあります。
- 情報システムなどの高度化やオープン化が進んだから
- サイバー攻撃の脅威がますます高まっているから
- 企業としてコンプライアンスと同様に取り組むべきことだから
決して間違いではありません。ただ、その本質を考えるなら、
- セキュリティ対策が必要となるリスクがあるから
ではないでしょうか。
そして、皆さんの会社では、どのようにセキュリティ対策を始めていますか。
たとえば、こんな話も聞かれます。
- インターネットでおすすめの対策製品を検索して導入を検討する
- セキュリティ対策製品のベンダーから提案を受ける
- 今年度の予算が余ったので、後回しだった対策を実施する(予算消化のため)
3つ目の予算消化は論外としても、『リスクそっちのけの対策ありき』で進めていませんか。
本来必要なのは、現状の問題となるセキュリティリスクを適切に把握し、それに対処するためにセキュリティ対策を進めることです。そうしないと、せっかくの対策が的外れになってしまうかもしれません。
きわめて当たり前のことです。
その現状の問題を把握するのが、『リスクアセスメント』なのです。
対策はボトムアップでは進まない
リスクアセスメントを実施する中では、リスクの大きさ(リスク値)を求めます。
たとえば、
リスク値 = 脅威レベル × 脆弱性レベル × 影響度レベル
といった計算式を用います。ここに数値を当てはめると、
12 = 2 × 2 × 3
客観的に「12」という値が求められます。
ただ、ここで悩ましいのが、「脅威レベル」と「影響度レベル」をどう評価するかです。
脅威レベルとは、想定するリスクがどの程度の頻度で起こるかどうかです。ある意味、発生確率と考えることもできます。
では、「怪しいメール本文のURLをうっかりクリックして、ランサムウェアに感染する」といった、リスクの脅威を考えるとどうでしょう?
仮に3段階のレベルで評価します。かなり悩ましくないですか・・・
過去に自社でランサムウェアに感染したことがなければ、頻繁に発生するなんて想像できません。しかしながら、サイコロを振って何度も同じ目が出るように、悪いことが立て続きに起こることだって考えられます。
次に脆弱性レベルとは、想定したリスクに対して、どの程度の守り(対策)ができているかです。対策の整備状況と考えることもできます。これは、脅威と比べて評価しやすいことが多いです。
最後に影響度レベルですが、これも評価が悩ましいはずです。想定したリスクが顕在化した際に、はたしてどのくらいの範囲にまで影響が及ぶかです。ランサムウェアの感染は、ネットワーク経由でどんどん拡散する可能性があります。
こうして考えると、先ほどの「12」(リスク値)に、どれほどの信憑性があるのでしょう。リスクアセスメントの結果をもとに、担当者がボトムアップでセキュリティ対策(投資判断)の稟議を回せば、幹部からいろいろ突っ込まれ、説明が苦しくなるはずです。
また近年、システム投資などに対して、ディスカウントキャッシュフロー法(DCF法)で投資対効果を評価することが多くなっています。投資で将来得られるキャッシュフローを現在価値に割り引き、その合計額から初期投資額を除いた正味現在価値(NPV)がプラスならGO(承認)です。
これと同じようにセキュリティ対策を考えると、そもそも対策がどのくらいのキャッシュフローを生むのか、計算するのが困難です。その上、根拠となるリスク値が微妙であれば、その計算の過程は(想定どころか)妄想です。
今こそ必要なトップの推進力
このように、一般的な投資の経済性計算では、セキュリティ対策への投資は組織的なコンセンサスを得るのが難しいのです。キャッシュを生まない対策の稟議書が、すんなり承認されることはありません。
はたして、どのように取り組めばいいのでしょうか?
本来リスクには、プラスの面とマイナスの面があります。わかりやすい例が、株価の上昇リスクと下落リスクです。また、株価は期待収益率などにより、ある程度のリターンも予測できます。
しかしながら、セキュリティリスクについては、基本的にはダメージを抑えるマイナス面のリスクだけであり、不確実性が非常に高いという特徴があります。
『起こるかどうかわからないが、もし起こったら多大な影響があるかもしれない』ということです。
こうしたセキュリティリスクに近いものといえば、まさに先が読めないビジネスへの経営リスクです。つまり、セキュリティリスクは経営リスクと同様に、トップダウンで実施を進める必要があるのです。不確実性の高いリスクへの対処は、経営判断で方向性を示さないと進みません。
これは、情報セキュリティマネジメントの国際規格である、ISO/IEC 27001(ISMS)の中でも、「リーダーシップ(5章)」として規定されています。経営トップのリーダーシップとコミットメントで、情報セキュリティへの戦略的な方向性を指揮し、組織的な活動を支援することを求めています。
おわりに
「経営リスクで考えるサイバーセキュリティの重要性」と題し、計4回にわたって説明をしました。サイバーセキュリティを事業継続とレピュテーションの面から経営リスクとして捉え、トップダウンで進めることの重要性について、ご理解いただけたでしょうか。
次回からは、新たなテーマがスタートします。「いまさら聞けないサイバーセキュリティの基本」と題し、セキュリティ対策の本質をお伝えしていきます。