Bizコンパス

「セキュリティ対策はやったじゃないか、もういいだろ」
2018.12.21

経営層にセキュリティの価値をわかってもらう方法第3回

「セキュリティ対策はやったじゃないか、もういいだろ」

著者 蔵本雄一

 セキュリティ対策について予算を申請する際に、「セキュリティ対策は、こないだもうやったじゃないか、どうしてまた必要なんだ」と、経営層に言われた方も多いのではないでしょうか。

 これはセキュリティ対策の必要性を上申する際に定性的に伝えている際によく起こる事です。例えば、「Aという危険度の高い新種のウイルスが登場したため、ウイルス対策を強化するための予算が欲しいです。」と上申し、これが仮に承認されて予算が降りたとすると、承認した側の認識では「ウイルス対策は強化されてバッチリになった」という認識になっている事が予想されます。

「サイバー攻撃やマルウェアは進化する」という認識を持っているかどうかという部分は、セキュリティに明るくない人とセキュリティに明るい人の典型的な認識のズレとして、よく見られます。

 セキュリティに明るい方は、「対策した時点では大丈夫だったが、攻撃が進化してしまったので、今では不十分」という認識が当然と考えている訳ですが、セキュリティに明るくない方は、「一旦対策したのだからもう大丈夫」となっているため、こういった認識のズレの一因となってしまいます。

 

説得しても理解してもらえないなら、定量化すれば良い

 こういった認識のズレを避けるためにも、「相手(サイバー攻撃者側)は進化する」ということを経営層に理解してもらった上で、リスクをできる限り見える化しておき、できれば定量的に示しておきたいところです。

 リスクを見える化する方法はいくつかありますが、拙著「もしも社長がセキュリティ対策を聞いてきたら」では、「発生頻度」「影響度」「防御困難度」をそれぞれ採点して掛け合わせた「リスク優先度」を算出し、これをワークシートにしておく方法を解説しています。

 「リスク優先度」とは、「発生頻度」 x 「影響度」 x 「防御困難度」の計算式で算出します。それぞれの点数は4点法(4点満点)で、満点を64点とするのが経験上使いやすいです。

 この際、当然ながらそれぞれの点数も定義しておく必要があります。例えば「影響度」であれば、点数の定義は以下のようになります。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

蔵本雄一

蔵本雄一

合同会社WHITE MOTION CEO

1社目でアンチウイルスソフト等の開発に携わった後、2005年マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社以来、セキュリティエンジニアとして、主に大規模な顧客環境のセキュリティ向上活動に従事。下流の技術要素から、上流のマネジメント要素まで幅広くカバーしている。また、これらのスキルをベースに、多くの顧客環境に携わることで得た、実際の環境における課題や解決方法に関するケーススタディを生かし、実践的なセキュリティを提案している。2017年6月より、車載セキュリティ専門会社である合同会社WHITE MOTIONのCEOに就任。元筑波大学非常勤講師、日本CISO協会 主任研究員、公認情報セキュリティ監査人、CISSPでもあり、教育、出版、記事執筆、セミナー講師等、多くの活動を通して、情報セキュリティの普及にも深く携わっている。

関連キーワード

SHARE

関連記事

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

働き方改革を推進するキーアイテムは「音声認識」

2018.10.19

「最先端AI」で業務効率化する方法前編

働き方改革を推進するキーアイテムは「音声認識」

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは