検索
サイバー攻撃時代のセキュリティリスクとは
サイバーセキュリティ対策では、ポリシーやルールを策定し、対策を実装・適用してシステムやデータを守りますが、重要なのは継続的に運用することです。
セキュリティ運用で大切なのは、セキュリティリスクを受容可能なレベルに下げることです。受容できるリスクは事業環境によって変化し続けるため、やはり継続的に運用していくことが重要です。そのため、セキュリティライフサイクルとして活動することが求められます。
セキュリティは、事業を加速させながら安全に推進する「ガードレール」のようなものだと考えられ、自動車の走行(=ビジネス)を阻害するものであってはならないのです。CIA※のバランスを考慮しながら対策を行うことが大切です。
たとえば、スマートフォンの使用を禁止するのではなく、ユーザビリティを考慮しながら安全安心に使えるルールやソリューションを導入した結果、スマートフォンが事業に必須のツールになっている企業も多いでしょう。
※CIA
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った、情報セキュリティの概念を説明する際によく用いられる用語。
セキュリティリスク = 「発生可能性」×「影響度」
機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が改ざんされたり、破壊されたりしないことを指します。
可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作することであり、システムがスムーズに利用できる状態を表します。
セキュリティリスクを受容可能なレベルまで下げるには、リスクを数値化する必要があります。セキュリティリスクを分解すると、「発生可能性」と「影響度」の掛け算で表現できます。発生可能性は、脅威と脆弱性によって判断されます。影響度は、企業・組織にとっての「価値」によって判断されます。
*①発生可能性は、「脅威」と「脆弱性」により判断、②影響度は、企業・組織にとっての「価値」による評価。
ここで「脅威」「脆弱性」「価値」という言葉を使いましたが、これらはセキュリティリスクの文脈において、次のような意味を持ちます。
杉原 杏璃 氏登壇!
「THE GOLD ONLINE フェス 2025 @東京国際フォーラム」
(入場無料)今すぐ申し込む>>
