コース: サイバーセキュリティの基礎
サイバーリスクの基本を理解する
どんなビジネスにおいても、 リスクは必須の要素です。 他社との合併や企業買収に伴うリスク、 コスト効率を考えて新しい設備に 買い替えるリスク、 工場で働く従業員が思わぬ事故で 負傷するリスクなど、 自社がさらされている リスクの程度を把握して、 許容範囲を超えるものがないかを 確認することが必要です。 サイバーセキュリティとは、 インターネットにつながることで生じる リスクのマネジメントであるとも言えます。 インターネットから侵入する ハッカーやマルウェア、 インターネットに接続している IT システムが持つ脆弱性、 これらを予防したり攻撃に 対抗したりするための対策の有無や状況は、 企業の業績にも大きく関わってきます。 NIST が定めた リスクマネジメント手順の標準は、 文書番号 SP 800-30、 『リスクアセスメントの実施の手引き』 としてまとめられ、公開されています。 また、国際標準化機構からも、 ISO 27005 『情報セキュリティリスクマネジメント』 というガイドラインが出ています 使われている用語などの違いはありますが、 2つの主旨はほぼ同じです。 リスクの起点である脅威を分析して、 脅威となっているイベントが 起こる可能性を割り出します。 それには、想定される行為者と、 持っている能力やリソース、 その行為を起こす 動機について考えることが必要です。 その人物が何のために 攻撃しようとするかです。 期待される成果がコストを上回らなければ、 実際の攻撃は行われません。 その大きさは、本人が目的としているものの 価値によって変わります。 目的は、資金、有益な情報、 相手業務の妨害、仲間からの称賛など、 さまざまです。 次に考える必要があるのが、 データベース、ワークステーション、 サーバー、ネットワークといった 自社の情報処理資産に含まれる脆弱性、 すなわち不正行為や災害の入口となる 可能性がある問題です。 データセンターが地下にあれば、 浸水リスクに対する脆弱性が考えられます。 ウェブサイトには、攻撃に悪用できる ソフトウェアの脆弱性が あるかもしれません。 無停電電源装置に つながれていないサーバーは、 停電に対して脆弱です。 一口に脆弱性といっても、 性質はさまざまです。 水害への脆弱性は長期にわたる データセンターの機能停止に つながる恐れがありますが、 ウェブサイトの脆弱性が そこまで重大な機能停止につながることは ほとんどありません。 次に考える必要があるのは、 想定される事態がビジネスに 及ぼす影響です。 そのために行うのが、 ビジネスインパクト分析です。 影響を受けるシステムはどこか、 それによってビジネスプロセスには どんな影響があるか、 それらの停止や異常によって生じるコストは どの程度かを検討します。 セキュリティイベントを経営への インパクトの大きさで説明することは、 経営陣の関心や協力を取り付けたり、 コストと効果のバランスを考えた 効果的な対策を決めたりする上で、 非常に効果的です。 資産の保護を目的とした対策が 講じられている場合は、 分析の過程でそれらの有効性も 考慮に入れることが必要です。 リスクの検討は、以上の要素を 総合して行います。
目次
-
-
-
『オレンジブック』:初期のコンピューターセキュリティ概念4分54秒
-
NIST CSFについて知る2分33秒
-
NIST CSFを導入する2分51秒
-
サイバーリスクの基本を理解する3分30秒
-
サイバーセキュリティの脅威と対策を知る3分5秒
-
リスクの記録と報告に使われる手法を学ぶ2分57秒
-
リスクマネジメントのフレームワークを知る5分32秒
-
COBITの枠組みを知る3分35秒
-
セキュリティの運用に関するCOBITの要件5分18秒
-
サイバーセキュリティ対策の基本概念1分37秒
-
サイバーセキュリティ管理策のフレームワーク4分11秒
-
情報セキュリティのためのグッドプラクティス標準2分13秒
-
ASDの管理策リスト3分5秒
-
クレジットカード情報の保護基準7分32秒
-
クラウドのセキュリティ基準3分52秒
-
IoTのセキュリティ3分31秒
-
セキュリティ保証の役割と方法2分16秒
-
-
-
-