ここではサイバーセキュリティリスクの対策OODAループ第1段階としてやるべきリスク分析について解説。具体的な方法やそれがなぜ必要であるかについてもまとめました。
サイバー攻撃に対するセキュリティ対策で最初に行うべきことは、外部状況や内部状況のの把握とリスク分析です。過去にセキュリティ対策を行っていたとしても、日々刻々セキュリティリスクは変化するためすぐに陳腐化します。
そのため、新たな脅威に対応するには継続的な状況把握とリスク分析が必要になるのです。外部状況とはサイバー攻撃に関する最新ニュースや手口のこと、内部状況とはそれにどのような対策ができているかを意味します。
リスク分析とは自社システムやWebサイトがサイバー攻撃を受けた時に、どんなことが起きるのかを明確にしておくことです。考えられるリスクをピックアップしてレベル化すれば何を優先して対策を進めればよいかがわかります。
サイバーセキュリティにおいて企業が守るべき資産はシステム自体の物理的資産だけでなく、情報資産も含まれます。リスク分析がしっかり行われていればサイバー攻撃を受けた際も被害を最低限にするための対策が講じられるわけです。
システムの物理的資産の把握は比較的簡単にできますが、それ以外に社員名簿や業務に関する帳票データ、電子メールデータなど情報資産の洗い出しを行います。資産の重要度は攻撃された際に想定される事業被害や事業継続性への影響を考慮。リスク値は次の計算式を用います。
リスク = 資産価値 × 脅威 × 脆弱性 × 発生可能性
事業被害に注目したリスク分析では事業被害の大きさによってレベルを定義。次に発生時の被害範囲や会社経営上の打撃をもとに項目別にレベルを設定します。また情報セキュリティ会計の立場から年間予想被害額を算出することも可能です。
ALE (年次損失予測) = SLE(単一損失予測) × ARO(年次発生率)
脆弱性リスクの分析では不正アクセスやマルウェア感染、物理的侵入など資産に対する脅威を項目化し発生可能性を考慮して脅威レベルを定義化します。さらに脅威の対策が実施されていない、実施されているが十分ではない、対策が十分実施されているの3つを判断基準として脆弱性レベルを評価し、自社の危険度を把握します。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
セキュリティ対策のためのリスク分析について説明しましたが、実際には企業の規模や状況に合わせて行われるため、どこでも同じ方法が適用されるわけではありません。そのため専門家との相談が必要になります。
本サイトの監修者であるアルファネットでは今回解説したリスク分析を企業の事情も考慮してアドバイスが可能です。どの程度まで行うのかは最終的には経営判断に委ねられますが、サイバー攻撃が経営に与える影響を知る上でも相談することをおすすめします。
【Observe(観察)】
資産のインベントリを作成して管理する
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
悪意のある命令を実行できる
多様化するサイバーリスクに対応するには、やみくもに対策するのではなく、自社のセキュリティ状況、リスクの実態を把握したうえで実態に合った対策を計画的に実施していく必要があります。
リスク分析によりWeakPointを把握した上で優先順位をつけて実行計画を策定し改善対策をしていくことが必要です。