NTTコミュニケーションズ

Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

セキュリティ対策に“最低限やるべきこと”は存在しない

 前述の検知・対応の重要性のほか、NISTのサイバーセキュリティフレームワークにはもう一つの画期的なポイントがあります。「サイバーセキュリティリスク=事業目標への影響×脅威×脆弱性」という公式を提示したことです。

 「従来は『リスク=影響度合い×発生確率』でリスクは算定されていたため、防御によって発生確率をゼロにすればリスクをゼロにできる、という考え方でした。しかし新しい公式では発生確率が脅威と脆弱性に分解されました。脅威がゼロになることも、脆弱性がゼロになることもありません。つまりゼロリスクはあり得ないということが論理的に説明できるようになったのです」(伊藤氏)

 サイバーリスクへの対処として、昨今広まりつつあるのは「リスクベースアプローチ」と呼ばれるものです。英国は2016年に国家としてのサイバーセキュリティ戦略をリスクベースアプローチに転換したといいます。

 「チェック項目をクリアしていればよいというコンプライアンス重視から、事故発生時の対応策など詳細にまで踏み込み、報告義務と罰則規定を科して結果を重視するリスクベースのアプローチへの転換が図られました」(伊藤氏)

 一方、日本企業でいまだに多いのはコンプライアンスを重視する「コントロールアプローチ」です。

 「コントロールアプローチは別名『最低限どこまでやればよいかアプローチ』です(笑)。企業の方から『伊藤さん、セキュリティ対策って最低限何をすればいいんですか』とよく質問されますが、『それはコントロールアプローチだから駄目ですよ』と答えています。何々をしていれば大丈夫、チェックリストを埋めていれば大丈夫という考えから脱却しなければなりません」(伊藤氏)

 セキュリティ対策を検討するとき、「ここまでやっていれば大丈夫だろう」などとつい考えてしまいがちです。しかし日々新たな脅威や脆弱性が生まれている以上、リスクがゼロになることはありません。サイバー攻撃の被害を最小限に食い止めるためには、リスクは前提として、それをコントロールするために改善し続けることが求められています。

 伊藤氏の講演からは、サイバーセキュリティを取り巻く状況から、日本企業が目指すべき方向性が示されました。では、実際に企業はどのような対策を進めているのでしょうか。次回は、日本電信電話株式会社のCISO(Chief Information Security Office)である横浜信一氏の講演をレポート。セキュリティ対策に経営層を巻き込んだ同社のケーススタディを紹介します。

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「Smart Mobility」で、クルマはもっと安全に、便利になる

2020.10.07

デジタルトランスフォーメーションの実現へ向けて第51回

「Smart Mobility」で、クルマはもっと安全に、便利になる

DXで健康を導き出す!新たなヘルスケアプラットフォームが登場

2020.09.11

デジタルトランスフォーメーションの実現へ向けて第46回

DXで健康を導き出す!新たなヘルスケアプラットフォームが登場

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

中部電力とNTT Comはどうやって点検データを「見える化」したのか

2020.04.10

デジタルトランスフォーメーションの実現へ向けて第38回

中部電力とNTT Comはどうやって点検データを「見える化」したのか