検索
サイバー攻撃時代のセキュリティリスクとは
サイバーセキュリティ対策では、ポリシーやルールを策定し、対策を実装・適用してシステムやデータを守りますが、重要なのは継続的に運用することです。
セキュリティ運用で大切なのは、セキュリティリスクを受容可能なレベルに下げることです。受容できるリスクは事業環境によって変化し続けるため、やはり継続的に運用していくことが重要です。そのため、セキュリティライフサイクルとして活動することが求められます。
セキュリティは、事業を加速させながら安全に推進する「ガードレール」のようなものだと考えられ、自動車の走行(=ビジネス)を阻害するものであってはならないのです。CIA※のバランスを考慮しながら対策を行うことが大切です。
たとえば、スマートフォンの使用を禁止するのではなく、ユーザビリティを考慮しながら安全安心に使えるルールやソリューションを導入した結果、スマートフォンが事業に必須のツールになっている企業も多いでしょう。
※CIA
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った、情報セキュリティの概念を説明する際によく用いられる用語。
セキュリティリスク = 「発生可能性」×「影響度」
機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が改ざんされたり、破壊されたりしないことを指します。
可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作することであり、システムがスムーズに利用できる状態を表します。
セキュリティリスクを受容可能なレベルまで下げるには、リスクを数値化する必要があります。セキュリティリスクを分解すると、「発生可能性」と「影響度」の掛け算で表現できます。発生可能性は、脅威と脆弱性によって判断されます。影響度は、企業・組織にとっての「価値」によって判断されます。
*①発生可能性は、「脅威」と「脆弱性」により判断、②影響度は、企業・組織にとっての「価値」による評価。
ここで「脅威」「脆弱性」「価値」という言葉を使いましたが、これらはセキュリティリスクの文脈において、次のような意味を持ちます。
2025年2月8日(土)開催!1日限りのリアルイベント
「THE GOLD ONLINE フェス 2025 @東京国際フォーラム」
来場登録受付中>>
注目のセミナー情報
【税金】11月27日(水)開催
~来年の手取り収入を増やす方法~
「富裕層を熟知した税理士」が考案する
2025年に向けて今やるべき『節税』×『資産形成』
【海外不動産】11月27日(水)開催
10年間「年10%」の利回り保証
Wyndham最上位クラス「DOLCE」第一期募集開始!
