こんにちは、エンジニアのあっきーです。
前回は、「リスク管理とは?【前編】」と題して、リスクとリスク管理の3つのプロセスのうちの1つであるアセスメントについてお話ししました。この【後編】では、残りの2つのプロセスである対応とモニタリングについてお話ししたいと思います。
前回のお話として、サイバーセキュリティにおけるリスク管理とは、「想定されるリスクを事前に把握し、そのリスクの回避やリスクによってもたらされる負の影響を最小限に抑えるように継続的に管理する」ことであり、リスクを「事前」に把握し、「継続的」に管理することが重要であるとお伝えしました。
アセスメントは、「事前」に把握する部分にあたりますが、今回お話しする対応とモニタリングは「継続的」に管理する部分にあたります。
リスクに対応しよう!
アセスメントでリスクが判断できれば、そのリスクに対応するための行動方針を策定します。ここで重要になってくるのが、それぞれの企業によってそのリスクを許容できる度合い(リスク許容度)が違うということです。
あるリスクに対して、それを許容できるかどうかというポイントは、一般的には「コスト」と「利便性」ではないかと思います。
当たり前ですが、リスク対応にはコストがかかりますし、何らかの対策を行った場合、通常は対策前と比べると利便性は低下します。
仮に対応コストが、リスクからもたらされる影響によるコストよりも大きくなるとすると、対策しないほうが合理的です。したがって、リスクへの対応を決定する際は、このリスク許容の基準も設定し、リスクに見合った適切な行動方針を決定する必要があります。
リスクへの対応は以下の4つの種類があります。
① リスクを容認する
リスクに対してとりあえずは何も対策しないということです。上記で説明したようにリスクを許容できる場合が該当します。 リスクがあることはわかっているが、許容できるのであれば事前の対策は取らないというのもリスク対応の一つの方法です。
② リスクを回避する
リスクに対して、発生原因をなくしてしまう、つまり発生可能性を0%にすることです。例えば、オンラインにつながっているサーバ上に普段はアクセスしないけど重要なデータがあるとします。オンラインである以上、外部からの攻撃が脅威となり、情報が漏洩するリスクがあります。そこで、外部からネットワークを経由して攻撃を受けないようサーバをネットワークから遮断し、外部からアクセスできないようにして情報漏洩リスクを回避するような対応になります。
③ リスクを軽減する
サイバーセキュリティにおいて、すべてのリスクを回避することは不可能です。そこでリスクを軽減するというのが、最も多い対応方法ではないでしょうか。リスクが顕在化したときにどのように対応するかということを事前に決めておいたり、システムへの不正ログインを防ぐ為、多要素認証を導入したり、システムへのアクセスログを定期的にチェックするようなプロセスを実施したり、100%防ぐことはできないものに対して、いかに影響が出ないようにするかという対応になります。
④ リスクを移転する
リスクを移転する? 筆者は、リスク管理について学んだ時にこの方法が4つの中で一番耳慣れないというか、どういう意味なんだろうと思いました。
移転というとマイルドな言い方ですが、要するにリスクを他の人や組織に転嫁するという考え方です。代表的な例がサイバーセキュリティ保険です。保険料という対応コストを支払い、万一自社でカバーしきれないような損害が発生した場合には、その損害を肩代わりしてもらうという考え方になります。
対応がおわっても安心せずにモニタリングしよう!
アセスメントが終わり、対応も終わって、安心していませんか?
モニタリングは、リスク対応の現時点での有効性の判断、自社の情報システムや稼働環境に対する変更があるか、それらがリスクに影響を及ぼすのかどうか、計画されたリスク対応がきちんと実施されていているかなどを確認する作業です。
上記でもふれたようにリスクに対する外部要因・内部要因は時がたつにつれて変化していきます。現在のようにシステムの変化や新しいサイバー攻撃手法の発現を考えると、以前にとった対策が今後も有効であり続けるというのは不可能に近いと思います。したがって、これまでのリスク対応が有効であるかを定期的チェックすることは、リスクを管理する上で重要であるといえます。
まとめ
リスクとリスク管理の概要について【前編】・【後編】の2回にわけてお話ししました。アセスメントをどのように行うのか、どのような対応がそれぞれのリスクに対して適切なのかなど、もっと深堀してお伝えすべきポイントはありますが、今回のトピックが自社のサイバーセキュリティリスク管理を考え直すきっかけになれば幸いです。
サイバーセキュリティのリスク管理やアセスメントについては、National Institute of Standards and Technology (NIST)やCenter for Internet Security (CIS)等から、有益なフレームワークが公開されています。今後も本ブログの中でこのようなリソースを基にサイバーセキュリティに関する考え方を発信していきたいと思います。
IIJ America Incでは、セキュリティに関するご相談、脆弱性診断やペネトレーションテスト、標的型メール攻撃訓練等のサイバーセキュリティ対策ソリューションも提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。