NTTコミュニケーションズ

Bizコンパス

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」
2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

著者 Bizコンパス編集部

セキュリティ対策に“最低限やるべきこと”は存在しない

 前述の検知・対応の重要性のほか、NISTのサイバーセキュリティフレームワークにはもう一つの画期的なポイントがあります。「サイバーセキュリティリスク=事業目標への影響×脅威×脆弱性」という公式を提示したことです。

 「従来は『リスク=影響度合い×発生確率』でリスクは算定されていたため、防御によって発生確率をゼロにすればリスクをゼロにできる、という考え方でした。しかし新しい公式では発生確率が脅威と脆弱性に分解されました。脅威がゼロになることも、脆弱性がゼロになることもありません。つまりゼロリスクはあり得ないということが論理的に説明できるようになったのです」(伊藤氏)

 サイバーリスクへの対処として、昨今広まりつつあるのは「リスクベースアプローチ」と呼ばれるものです。英国は2016年に国家としてのサイバーセキュリティ戦略をリスクベースアプローチに転換したといいます。

 「チェック項目をクリアしていればよいというコンプライアンス重視から、事故発生時の対応策など詳細にまで踏み込み、報告義務と罰則規定を科して結果を重視するリスクベースのアプローチへの転換が図られました」(伊藤氏)

 一方、日本企業でいまだに多いのはコンプライアンスを重視する「コントロールアプローチ」です。

 「コントロールアプローチは別名『最低限どこまでやればよいかアプローチ』です(笑)。企業の方から『伊藤さん、セキュリティ対策って最低限何をすればいいんですか』とよく質問されますが、『それはコントロールアプローチだから駄目ですよ』と答えています。何々をしていれば大丈夫、チェックリストを埋めていれば大丈夫という考えから脱却しなければなりません」(伊藤氏)

 セキュリティ対策を検討するとき、「ここまでやっていれば大丈夫だろう」などとつい考えてしまいがちです。しかし日々新たな脅威や脆弱性が生まれている以上、リスクがゼロになることはありません。サイバー攻撃の被害を最小限に食い止めるためには、リスクは前提として、それをコントロールするために改善し続けることが求められています。

 伊藤氏の講演からは、サイバーセキュリティを取り巻く状況から、日本企業が目指すべき方向性が示されました。では、実際に企業はどのような対策を進めているのでしょうか。次回は、日本電信電話株式会社のCISO(Chief Information Security Office)である横浜信一氏の講演をレポート。セキュリティ対策に経営層を巻き込んだ同社のケーススタディを紹介します。

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策