自社のどこにどのようなサイバーリスクが潜んでいるか、正確に把握できなければ、サイバー攻撃から身を守ることはできません。孫子の兵法に「彼を知り己を知れば百戦殆(あや)うからず」とあるように、敵だけでなく自らをよく分析することが重要です。
そこで今回は己を知る方法として、「リスクアセスメント」についてご紹介します。
■ まずは「資産」の洗い出し
資産といえば現金や不動産などが一般的な解釈になりますが、サイバーセキュリティの世界の資産とは「IT機器」や「情報(データ)」になります。
情報と一口に言っても、それが個人情報なのか、社外秘の製品情報なのか、情報は千差万別であり、1つの企業のなかでも非常に多くの情報を取り扱っています。
資産を洗い出すとは「どこに・どういう経路で・何の情報が・どれだけ・どのような形式で・いつまで」情報が保存されているかを把握することです。例えば、ウェブサイトでお客さまが会員登録を行う業務があった場合、図表1のように考える必要があります。
■ 次に「リスク」を洗い出す
リスクを洗い出すとは、洗い出した資産に対して、情報が改ざんされる、盗まれるなど、資産に関わるリスクがあるかを把握することです。このとき、攻撃だけでなく、機器の故障や操作ミスなど悪意のあるなしにかかわらず、発生すると資産に悪い影響を与え得るリスクも洗い出すことが重要です。
■ 影響度×発生可能性
情報処理推進機構(IPA)「情報セキュリティマネジメントとPDCAサイクル」より
(https://www.ipa.go.jp/security/manager/protect/pdca/risk.html)
次に、資産の影響度とその資産に与えるリスクの発生可能性を検討します。影響度とは、資産の持つ価値と言い換えることもでき、主に大・中・小などの3段階評価を行います。守るべき資産の価値を明確にするため、すべての資産が「重要度=大」などと一律評価しないことが重要です。
リスクの発生可能性は、洗い出した資産がどこに保管されているかが大きく影響し、インターネット接続しているサーバーなどはリスクの発生可能性が高くなります。そして、資産の影響度とリスクの発生可能性をかけ合わせることで、リスク評価が可能になります。この評価をもとにして、洗い出したリスクへの対応方針を決めることができます。打つべき対応方針は図表2を参考に決定します。
4つのカテゴリーの意味については以下の(1)~(4)のとおりになります。
- (1)リスク回避
リスクの発生要因を取り除くため、不要な資産を破棄する
例)不要な業務情報の削除、老朽化したIT資産の廃棄 - (2)リスク低減
サイバーセキュリティ対策を講じて発生可能性を低くする
例)セキュリティ製品の導入、担当者の育成 - (3)リスク移転
発生時のリスクの一部を他者に移転する
例)サイバー保険への加入、個人情報管理の外部委託 - (4)リスク保有
積極的な対策は実施しない
例)リスクが発生した際の対応方法を決め、訓練しておく
サイバーセキュリティ対策を効果的に行うためにも、今回紹介した「リスクアセスメント」を実践していただけると幸いです。