サイバーリスクの基本を理解する

どんなビジネスにおいても、 リスクは必須の要素です。 他社との合併や企業買収に伴うリスク、 コスト効率を考えて新しい設備に 買い替えるリスク、 工場で働く従業員が思わぬ事故で 負傷するリスクなど、 自社がさらされている リスクの程度を把握して、 許容範囲を超えるものがないかを 確認することが必要です。 サイバーセキュリティとは、 インターネットにつながることで生じる リスクのマネジメントであるとも言えます。 インターネットから侵入する ハッカーやマルウェア、 インターネットに接続している IT システムが持つ脆弱性、 これらを予防したり攻撃に 対抗したりするための対策の有無や状況は、 企業の業績にも大きく関わってきます。 NIST が定めた リスクマネジメント手順の標準は、 文書番号 SP 800-30、 『リスクアセスメントの実施の手引き』 としてまとめられ、公開されています。 また、国際標準化機構からも、 ISO 27005 『情報セキュリティリスクマネジメント』 というガイドラインが出ています 使われている用語などの違いはありますが、 ２つの主旨はほぼ同じです。 リスクの起点である脅威を分析して、 脅威となっているイベントが 起こる可能性を割り出します。 それには、想定される行為者と、 持っている能力やリソース、 その行為を起こす 動機について考えることが必要です。 その人物が何のために 攻撃しようとするかです。 期待される成果がコストを上回らなければ、 実際の攻撃は行われません。 その大きさは、本人が目的としているものの 価値によって変わります。 目的は、資金、有益な情報、 相手業務の妨害、仲間からの称賛など、 さまざまです。 次に考える必要があるのが、 データベース、ワークステーション、 サーバー、ネットワークといった 自社の情報処理資産に含まれる脆弱性、 すなわち不正行為や災害の入口となる 可能性がある問題です。 データセンターが地下にあれば、 浸水リスクに対する脆弱性が考えられます。 ウェブサイトには、攻撃に悪用できる ソフトウェアの脆弱性が あるかもしれません。 無停電電源装置に つながれていないサーバーは、 停電に対して脆弱です。 一口に脆弱性といっても、 性質はさまざまです。 水害への脆弱性は長期にわたる データセンターの機能停止に つながる恐れがありますが、 ウェブサイトの脆弱性が そこまで重大な機能停止につながることは ほとんどありません。 次に考える必要があるのは、 想定される事態がビジネスに 及ぼす影響です。 そのために行うのが、 ビジネスインパクト分析です。 影響を受けるシステムはどこか、 それによってビジネスプロセスには どんな影響があるか、 それらの停止や異常によって生じるコストは どの程度かを検討します。 セキュリティイベントを経営への インパクトの大きさで説明することは、 経営陣の関心や協力を取り付けたり、 コストと効果のバランスを考えた 効果的な対策を決めたりする上で、 非常に効果的です。 資産の保護を目的とした対策が 講じられている場合は、 分析の過程でそれらの有効性も 考慮に入れることが必要です。 リスクの検討は、以上の要素を 総合して行います。