企業への＜サイバー攻撃＞が増加。リスクをゼロにすることが極めて困難ななか、とるべき対策とは？【サイバーセキュリティの専門家が助言】

（※写真はイメージです／PIXTA）

昨今はサイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、深刻化しています。本記事ではサイバーセキュリティの第一人者である淵上 真一氏が、情報セキュリティリスクの考え方について詳しく解説します。

サイバー攻撃時代のセキュリティリスクとは

サイバーセキュリティ対策では、ポリシーやルールを策定し、対策を実装・適用してシステムやデータを守りますが、重要なのは継続的に運用することです。

セキュリティ運用で大切なのは、セキュリティリスクを受容可能なレベルに下げることです。受容できるリスクは事業環境によって変化し続けるため、やはり継続的に運用していくことが重要です。そのため、セキュリティライフサイクルとして活動することが求められます。

セキュリティは、事業を加速させながら安全に推進する「ガードレール」のようなものだと考えられ、自動車の走行（＝ビジネス）を阻害するものであってはならないのです。CIA^※のバランスを考慮しながら対策を行うことが大切です。

たとえば、スマートフォンの使用を禁止するのではなく、ユーザビリティを考慮しながら安全安心に使えるルールやソリューションを導入した結果、スマートフォンが事業に必須のツールになっている企業も多いでしょう。

^※CIA

^{機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の頭文字を取った、情報セキュリティの概念を説明する際によく用いられる用語。}

セキュリティリスク = 「発生可能性」×「影響度」

機密性とは、許可された者だけが情報にアクセスできるようにすることです。許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。

完全性とは、保有する情報が正確であり、完全である状態を保持することです。情報が改ざんされたり、破壊されたりしないことを指します。

可用性とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。つまり、可用性を維持するということは、情報を提供するサービスが常に動作することであり、システムがスムーズに利用できる状態を表します。

セキュリティリスクを受容可能なレベルまで下げるには、リスクを数値化する必要があります。セキュリティリスクを分解すると、「発生可能性」と「影響度」の掛け算で表現できます。発生可能性は、脅威と脆弱性によって判断されます。影響度は、企業・組織にとっての「価値」によって判断されます。

^{＊①発生可能性は、「脅威」と「脆弱性」により判断、②影響度は、企業・組織にとっての「価値」による評価。}

ここで「脅威」「脆弱性」「価値」という言葉を使いましたが、これらはセキュリティリスクの文脈において、次のような意味を持ちます。

セキュリティリスク = 「発生可能性」×「影響度」

脅威

脅威はインシデントの潜在的な要因で、システムに悪影響を与える事象です。コントロールが比較的困難ですが、未然防止策として取り組むべきものです。

たとえば、テロや自然災害といった要因によるシステム停止等の脅威、従業員による内部不正行為（内部脅威）、人的なミス（メール誤送信や、誤ったコマンド実行によるデータ消去やシステム停止など）、外部からのサイバー攻撃といった脅威（外部脅威）があります。

脆弱性

脆弱性はコンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥で、「セキュリティホール」とも呼ばれます。脆弱性が残された状態でコンピュータ等を利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。

たとえば、「セキュリティパッチが当てられていない」「データへのアクセス制御が正しく設定されていない」「データのバックアップが取られていない」といった状態を指します。

バックアップに関しては、システムバックアップやデータバックアップを取得していても、初期構築後や環境変更の設定ファイルなどのバックアップが対象から漏れて復旧が困難なこともあり、これも脆弱性の一種です。

ランサムウェアの手口は、データを暗号化してシステムを利用できなくするため、復旧のために必要なバックアップがないことも脆弱性の1つであると捉えることができます。

価値

価値は、組織に与える影響度のことです。情報資産の価値は、会計的な価値だけではなく、ブランド価値も含まれます。

たとえば、顧客データの漏えいは、企業のブランド価値を損ねる重大なインシデントです。また、サイバー攻撃によって、システムの稼働停止や株価への影響といった価値の毀損が発生します。

サイバー攻撃を受け株式取引の停止や株価急落につながることも

最近では、持続可能性を重視するESG（環境・社会・企業統治）投資において、サイバーセキュリティ対策を新たな評価軸に加える動きが広がりつつあります。海外ではシステムが不正アクセスを受けた影響を投資家や関係者が重く見て、株式取引の停止や株価急落につながった例がいくつもあります。

ただし、同時期に世の中で大きな事件が発生してメディアがあまり取り上げないなど、外部要因によって価値への影響度が変わる場合もあるため、状況に応じて価値を測る必要があります。

効果的なセキュリティリスク対策は、脅威より脆弱性のコントロール

セキュリティリスク対策は、まず発生可能性をどれだけ抑え込めるかにかかっています。発生可能性は脅威と脆弱性で決まるわけですが、脅威は外的要因がほとんどで、なかなかコントロールしにくいものです。

一方で、脆弱性は比較的コントロールしやすいと言えます。脆弱性の情報は世の中に多く公開されており、それに対応するためのセキュリティパッチをきちんと当てていけば脆弱性を低下させることが可能だからです。

それにはセキュリティパッチの適用状況を数値で「見える化」することも大切で、なんとなく場当たり的に対応するよりもアクションにつなげやすくなります。それにはダッシュボード導入による情報共有や可視化も有効です。

第三者評価の実施は比較的始めやすく即効性も有り

なお、脅威に対応するには時間がかかりますが、まずは第三者評価を実施するのもよい方法です。比較的始めやすく即効性のある取り組みの1つですので、これを足がかりに次のアクションへつなげやすいのが特徴です。

淵上 真一

日本電気株式会社（NEC）

Corporate Executive CISO兼サイバーセキュリティ戦略統括部長

NECセキュリティ取締役