検索
サイバー攻撃時代のセキュリティリスクとは
サイバーセキュリティ対策では、ポリシーやルールを策定し、対策を実装・適用してシステムやデータを守りますが、重要なのは継続的に運用することです。
セキュリティ運用で大切なのは、セキュリティリスクを受容可能なレベルに下げることです。受容できるリスクは事業環境によって変化し続けるため、やはり継続的に運用していくことが重要です。そのため、セキュリティライフサイクルとして活動することが求められます。
セキュリティは、事業を加速させながら安全に推進する「ガードレール」のようなものだと考えられ、自動車の走行(=ビジネス)を阻害するものであってはならないのです。CIA※のバランスを考慮しながら対策を行うことが大切です。
たとえば、スマートフォンの使用を禁止するのではなく、ユーザビリティを考慮しながら安全安心に使えるルールやソリューションを導入した結果、スマートフォンが事業に必須のツールになっている企業も多いでしょう。
※CIA
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った、情報セキュリティの概念を説明する際によく用いられる用語。
セキュリティリスク = 「発生可能性」×「影響度」
機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が改ざんされたり、破壊されたりしないことを指します。
可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作することであり、システムがスムーズに利用できる状態を表します。
セキュリティリスクを受容可能なレベルまで下げるには、リスクを数値化する必要があります。セキュリティリスクを分解すると、「発生可能性」と「影響度」の掛け算で表現できます。発生可能性は、脅威と脆弱性によって判断されます。影響度は、企業・組織にとっての「価値」によって判断されます。
*①発生可能性は、「脅威」と「脆弱性」により判断、②影響度は、企業・組織にとっての「価値」による評価。
ここで「脅威」「脆弱性」「価値」という言葉を使いましたが、これらはセキュリティリスクの文脈において、次のような意味を持ちます。
注目のセミナー情報
【国内不動産】9月28日(土)開催
日本製鉄独自技術「NSスーパーフレーム工法」で実現する
長期的に資産価値が落ちない新発想の〈高気密〉〈高断熱〉賃貸マンション経営
【海外不動産】9月28日(土)開催
海外不動産の投資手法をアップデート!
日本国内の銀行融資を活用した「最新・ベトナム不動産投資戦略」
