企業への<サイバー攻撃>が増加。リスクをゼロにすることが極めて困難ななか、とるべき対策とは?【サイバーセキュリティの専門家が助言】

企業への<サイバー攻撃>が増加。リスクをゼロにすることが極めて困難ななか、とるべき対策とは?【サイバーセキュリティの専門家が助言】
(※写真はイメージです/PIXTA)

昨今はサイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、深刻化しています。本記事ではサイバーセキュリティの第一人者である淵上 真一氏が、情報セキュリティリスクの考え方について詳しく解説します。

サイバー攻撃時代のセキュリティリスクとは

サイバーセキュリティ対策では、ポリシーやルールを策定し、対策を実装・適用してシステムやデータを守りますが、重要なのは継続的に運用することです。

 

セキュリティ運用で大切なのは、セキュリティリスクを受容可能なレベルに下げることです。受容できるリスクは事業環境によって変化し続けるため、やはり継続的に運用していくことが重要です。そのため、セキュリティライフサイクルとして活動することが求められます。

 

セキュリティは、事業を加速させながら安全に推進する「ガードレール」のようなものだと考えられ、自動車の走行(=ビジネス)を阻害するものであってはならないのです。CIAのバランスを考慮しながら対策を行うことが大切です。

 

たとえば、スマートフォンの使用を禁止するのではなく、ユーザビリティを考慮しながら安全安心に使えるルールやソリューションを導入した結果、スマートフォンが事業に必須のツールになっている企業も多いでしょう。

 

※CIA

機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取った、情報セキュリティの概念を説明する際によく用いられる用語。

セキュリティリスク = 「発生可能性」×「影響度」

機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。

 

完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が改ざんされたり、破壊されたりしないことを指します。

 

可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作することであり、システムがスムーズに利用できる状態を表します。

 

セキュリティリスクを受容可能なレベルまで下げるには、リスクを数値化する必要があります。セキュリティリスクを分解すると、「発生可能性」と「影響度」の掛け算で表現できます。発生可能性は、脅威と脆弱性によって判断されます。影響度は、企業・組織にとっての「価値」によって判断されます。

*①発生可能性は、「脅威」と「脆弱性」により判断、②影響度は、企業・組織にとっての「価値」による評価。

ここで「脅威」「脆弱性」「価値」という言葉を使いましたが、これらはセキュリティリスクの文脈において、次のような意味を持ちます。

 

注目のセミナー情報

​​【国内不動産】11月16日(土)開催
【今年度分の確定申告にまだ間に合う!】
超・減価償却「築古アパート投資」の新発想!
〈節税+家賃収入+売却益〉投資元本2倍のしくみを大公開!

 

【減価償却】11月20日(水)開催
<今年の節税対策にも!>
経営者なら知っておきたい
今が旬の「暗号資産のマイニング」活用術

次ページセキュリティリスクにおける「脅威」「脆弱性」「価値」とは具体的に?

※ 本連載は、淵上 真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)より一部を抜粋・再編集したものです

経営層のためのサイバーセキュリティ実践入門

経営層のためのサイバーセキュリティ実践入門

淵上 真一

プレジデント社

ダボス会議でも重要議題となっているサイバー攻撃。自社がいつ攻撃されてもおかしくない時代に、経営者やマネジメント層が最低限知らなくてはならない基本知識を解説! 今やサイバー攻撃(不正アクセス、マルウエア、ランサ…

人気記事ランキング

  • デイリー
  • 週間
  • 月間

メルマガ会員登録者の
ご案内

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

メルマガ登録
会員向けセミナーの一覧