• あっきー

サイバーセキュリティ特集 リスク管理とは?【前編】




こんにちは、エンジニアのあっきーです。


セキュリティ対策として、IPS/IDSやクラウドへのアクセスを制御するCASBのようなセキュリティシステムの導入、定期的な脆弱性診断、社員のセキュリティ教育等を実施されている会社は多いかと思いますが、経営者やIT担当者の中には、自社のセキュリティ対策は十分なのか、今後どのように対策をとっていけばいいのか悩まれている方も多いのではないかと思います。


そこで今回は、セキュリティ対策の導入を決定する上でも重要となるサイバーセキュリティリスク管理の概要について【前編】、【後編】の2回に分けてお話ししたいと思います。


そもそもリスクって何?


リスクというと皆さんはどのようなことを思い浮かべますか?

例えば「運動は生活習慣病のリスクを軽減する」などのように、リスク=危険というのが一般的な理解ではないでしょうか。

また、「その投資にはリスクを伴う」という場合は、危険という意味に加え、不確実な何かが存在しているということも言えます。

2020年に企業活動に大きな影響を与えたCOVID-19ですが、企業はこの感染症により、実際に工場を停止したり、リモートワーク等によって今までに確立した業務プロセスの変更をせざるを得ない状況になったかと思います。おそらくこれまでは感染症を企業に対する脅威として事前に認識し、そのための対応やビジネスオペレーションの確立等のリスクを軽減するような対策を行っていた企業は少なかったのではないでしょうか。

このように企業におけるリスクというのは、外部からもたらされる場合はもちろん、ビジネスプロセスの変化や不備、社員意識の低さのような内部の脆弱性からもたらされる企業に負の影響を及ぼす危険や不確実な状況と言えます。

セキュリティ関連でよく上げられるリスクとしては、情報漏洩リスク、レビューテーション(評判)リスク、操業停止リスク等があります。


これらのリスクについても上記で説明したように「情報漏洩を引き起こす危険や不確実な状況」、「企業の評判を損なわせてしまう危険や不確実な状況」、「操業を停止せざるを得ないような危険や不確実な状況」と考えるとリスクのイメージがしやすいのではないでしょうか。

リスクを管理するってどういうこと?


サイバーセキュリティにおけるリスク管理は、「想定されるリスクを事前に把握し、そのリスクの回避やリスクによってもたらされる負の影響を最小限に抑えるように継続的に管理する」ことです。


筆者は、特に「事前」に把握することと「継続的」に管理することが重要であると考えています。

というのは、リスクというのは、顕在化してしまったときには、時すでに遅し、対応が遅れ影響が大きくなってしまう可能性があるのと、一旦リスク軽減の措置を講じたとしても、時間が経つにつれ外部・内部の要因が変化し、いつの間にか影響が大きくなる場合があるからです。

リスク管理には大きく分けてアセスメント、対応、モニタリングの3つのプロセスがあります。ここでは、アセスメントについてお話ししたいと思います。



アセスメントでリスクを「事前」に把握しよう!


アセスメントは、自社に対する脅威と、自社に存在する脆弱性を知ることから始まります。最近は自社のみではなく、サプライチェーンにおけるリスクを特定し、自社への影響がないかなどの評価も行われています。

続いて、特定した脅威が脆弱性を利用する可能性がどれくらいあるのか、またその可能性がある場合に企業の活動や資産に対して負の影響が発生する可能性を判断します。


簡単に言うとリスクは以下のように算出します。


リスク=負の影響x発生可能性


負の影響がものすごく大きくても、発生可能性が全くなければ、リスクなしという判断になります。逆に負の影響が小さくても100%発生する場合は、そのリスクへの対策を行うべきという判断になるかもしれません。


このようにアセスメントは、企業におけるリスクの特定と可視化を行う作業です。

サイバーセキュリティアセスメントにおいては、まずは「重要なITシステムやデータ」を特定し、そのシステムやデータに対する脅威や脆弱性があるか、それによって引き起こされる影響は何か、その可能性はどれくらいか、すでに講じている対策はあるかなどを考慮し、リスクがあるのか分析・判断してくのが一般的です。


したがって、自社にどのようなシステムがあり、どこにどのようなデータが保存されているかを把握することがサイバーセキュリティアセスメントにおける最初の一歩とも言えるでしょう。


今回は、「リスク管理とは?【前編】」と題して、リスクとリスク管理の中の1つのプロセスであるアセスメントについてお話ししました。続きは、「リスク管理とは?【後編】」でお話ししたいと思います。



IIJ America Incでは、セキュリティに関するご相談、脆弱性診断やペネトレーションテスト、標的型メール攻撃訓練等のサイバーセキュリティ対策ソリューションも提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。

Subscribe to Our Newsletter

© 2020 All Rights Reserved IIJ America Inc,