Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

セキュリティ対策に“最低限やるべきこと”は存在しない

 前述の検知・対応の重要性のほか、NISTのサイバーセキュリティフレームワークにはもう一つの画期的なポイントがあります。「サイバーセキュリティリスク=事業目標への影響×脅威×脆弱性」という公式を提示したことです。

 「従来は『リスク=影響度合い×発生確率』でリスクは算定されていたため、防御によって発生確率をゼロにすればリスクをゼロにできる、という考え方でした。しかし新しい公式では発生確率が脅威と脆弱性に分解されました。脅威がゼロになることも、脆弱性がゼロになることもありません。つまりゼロリスクはあり得ないということが論理的に説明できるようになったのです」(伊藤氏)

 サイバーリスクへの対処として、昨今広まりつつあるのは「リスクベースアプローチ」と呼ばれるものです。英国は2016年に国家としてのサイバーセキュリティ戦略をリスクベースアプローチに転換したといいます。

 「チェック項目をクリアしていればよいというコンプライアンス重視から、事故発生時の対応策など詳細にまで踏み込み、報告義務と罰則規定を科して結果を重視するリスクベースのアプローチへの転換が図られました」(伊藤氏)

 一方、日本企業でいまだに多いのはコンプライアンスを重視する「コントロールアプローチ」です。

 「コントロールアプローチは別名『最低限どこまでやればよいかアプローチ』です(笑)。企業の方から『伊藤さん、セキュリティ対策って最低限何をすればいいんですか』とよく質問されますが、『それはコントロールアプローチだから駄目ですよ』と答えています。何々をしていれば大丈夫、チェックリストを埋めていれば大丈夫という考えから脱却しなければなりません」(伊藤氏)

 セキュリティ対策を検討するとき、「ここまでやっていれば大丈夫だろう」などとつい考えてしまいがちです。しかし日々新たな脅威や脆弱性が生まれている以上、リスクがゼロになることはありません。サイバー攻撃の被害を最小限に食い止めるためには、リスクは前提として、それをコントロールするために改善し続けることが求められています。

 伊藤氏の講演からは、サイバーセキュリティを取り巻く状況から、日本企業が目指すべき方向性が示されました。では、実際に企業はどのような対策を進めているのでしょうか。次回は、日本電信電話株式会社のCISO(Chief Information Security Office)である横浜信一氏の講演をレポート。セキュリティ対策に経営層を巻き込んだ同社のケーススタディを紹介します。

SHARE

関連記事

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第21回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

ランサムウェア?破壊型マルウェア?LockerGogaの罠

2019.12.25

セキュリティ最前線第5回

ランサムウェア?破壊型マルウェア?LockerGogaの罠

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる