弱い部分から重点的に対策――。1つめの掟はこれだ。セキュリティコストの最適化には、リスクの優先順位付けが欠かせない。無料で利用できるWebサービスでリスク分析が可能だ。

 セキュリティ対策には「ここまで実施すれば安全」といった指標は存在しない。ビジネスメール詐欺の例からも分かるように、いくらコストを費やしてもサイバー攻撃を完全に防止することは不可能に近いのが現状だ。

 そのため、現在のセキュリティ対策では、「企業システムの中で脆弱な部分を見極め、優先順位を付けて、計画的に対策を施していくことが求められている」(TISのサービス事業統括本部プラットフォームサービス事業部 諸田陽宏エンタープライズセキュリティサービス部 副部長)。何でも対策するのではなく、限られたコストの中で、企業にとって重要な部分だけを重点的に守るという方針だ。

セキュリティ対策の優先順位を決める
[画像のクリックで拡大表示]

 では、重要な部分をどう見極めればよいのか。これには、自社に潜むリスクを洗い出し、それぞれのリスクがビジネスにどのような影響を与えるのか、を分析することが欠かせない。分析の結果次第では「リスクを享受することも大切」(NTTデータのセキュリティ技術部 鴨田浩明サイバーセキュリティ統括部長)という。

 想定される被害が小さい攻撃の対策にコストを費やしても効果は薄い。例えば、Webサイトを持っているがECサービスは行っていない場合などだ。Webサイトが自社紹介だけなら、短期間の停止は許容しやすい。サービス停止を狙って膨大なアクセスを送りつけるDDoS(Distributed Denial of Service)攻撃の対策は必須とはいえないだろう。このような対策にコストを費やすよりは、情報漏洩対策などにコストを割いた方がよいというわけだ。

網羅的にリスクを把握する

 企業内に潜むセキュリティリスクを洗い出すときに参考になるのが、セキュリティベンダーやSIerが実施している分析手法だ。

 NRIセキュアテクノロジーズでは、リスク分析に「ベースラインアプローチ」と「リスクベースアプローチ」という2つの方法を使うことが多い。

 前者は、あらかじめ実現すべきセキュリティレベルを設定しておき、システムや組織が目標とするセキュリティレベルに達しているかどうかを判断するものだ。レベルに達していない部分に重点的に対策を施す。「網羅的なセキュリティ対策が可能なので、対策に抜けのないシステムや組織につながる」(NRIセキュアテクノロジーズのサイバーセキュリティサービス一部 石川朝久セキュリティコンサルタント)。

 後者は、ある特定のリスクを防止するために必要な対策を取るアプローチだ。例えば、PCのデータを人質に取って身代金を要求するランサムウエアであれば、メールに添付されて社内に入り、社員がクリックすることで感染する、というようにリスクシナリオを立てて、侵入経路のフィルタリングや攻撃に対する防御方法を決めていく。ベースラインアプローチに比べると網羅的ではないが、特定の攻撃に対しての防御を強化できるのが特徴だ。

 ベースラインアプローチでは、どこまで対策すればいいのかという基準が必要だ。その可視化のためにNRIセキュアテクノロジーズは、「Secure SketCH」というWebサービス(https://www.secure-sketch.com/)を2018年4月から開始している。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら