10項目のセキュリティ リスク マネジメントに関する考慮事項
発行日:2021年3月29日
セキュリティ リスク マネジメントとは、潜在的なリスクを特定し、リスクの影響を評価し、リスクが現実になった場合の対応方法を計画するプロセスです。このプロセスは、その規模や業界を問わず、すべての組織がセキュリティ リスク マネジメント計画を策定する際にとても重要です。
しかしながら、たとえ事前に潜在的なリスクを特定されたとしても、そのすべてのリスクを除去できることは、残念ながら、ありません。このこともまた、組織が認識しなければならない事実の1つです。ただし、組織の努力によって、潜在的なリスクを低減し、もし、リスクが顕在化した場合でも、その影響を減らすことは可能です。そのために、組織のセキュリティ リスク マネジメントを計画/立案する際に考慮すべき10項目を以下に示します。
1. 企業文化の構築
組織のセキュリティ リスク マネジメントを計画する際にまず考慮すべきことは、企業の文化の構築です。現在、サイバー攻撃を受けた企業が被る損害の平均金額は、1億円を超えるとも言われており、攻撃された企業の37%は、風評被害により企業価値が低下しています。このため、組織で働く上層部からパートタイムやアルバイトのスタッフまで、組織全体でセキュリティを日頃から意識し、1人1人が自覚をもって、リスクを低減しようという組織文化を確立する必要があります。
2. 責任の分担
セキュリティ態勢を確立し、それを維持するための努力は、IT部門やセキュリティ部門に限ったものではありません。組織内のすべての従業員が、潜在的なリスクを認識し、自身が従事する業務の範囲内で徹底できるリスクの低減に責任を持つ必要があります。例えば、セキュリティ対策を計画する上では、もちろん、フィッシングメールに従業員が反応するといった、人的リスクも考慮する必要がありますが、組織のすべての従業員がセキュリティ意識を高めることで、このリスクを低減できることは言うまでもありません。
フィッシングメールなどの人的リスクを低減するために、従業員はマルウェア、フィッシングメール、およびその他のソーシャル エンジニアリング攻撃への認識を高めるトレーニングなどを受ける必要があります。このような取り組みは、企業全体のセキュリティ意識を高め、セキュリティを意識するという企業文化も醸成することに繋がります。
3. 従業員に対するトレーニング
セキュリティ リスク マネジメントを実施するには、組織として潜在的なリスクとしてみなされたもの、および、それらのリスクを軽減するために必要な対策について、すべての従業員に対し、トレーニングを実施する必要があります。従業員へのトレーニングは、セキュリティを意識した組織文化を広め、奨励するとともに、導入を計画しているセキュリティ対策、および、そのためのツールの使用方法を従業員に確実に知らせるために必要なステップです。
4. 情報を共有する
セキュリティ対策などセキュリティに関する情報共有を一部の部門に限ったものにすると、その対策が企業に浸透することなく、結果として、セキュリティ対策が思ったよりも効果が上がらないといった結果に終わることが確認されています。セキュリティに関する情報は、すべての部門、および、すべての役職で共有する必要があります。セキュリティ対策として行っていることは、すべての従業員、特に企業の意思決定に関与する関係者に伝える必要があります。関連するセキュリティリスクの潜在的なビジネスへの影響は、すべての従業員に対して、明確に説明し、それらを認識し、進行中のセキュリティ対策に関心をもってもらう必要があります。
5. セキュリティフレームワークの実装
適切なセキュリティフレームワークを実装することが重要です。なお、組織が実装すべきセキュリティフレームワークは、業界で採用されている標準によって決まります。
6.セキュリティリスクの優先順位付け
通常、セキュリティ対策に投資するための予算を無制限に持っていることはありません。つまり、想定しうるすべてのセキュリティリスクを低減し、組織を保護することはできません。そのため、リスクの発生確率と組織に与える影響の双方でセキュリティリスクを評価し、それに応じて、優先順位を付け、セキュリティ対策準備を行う必要があります。
7. 様々な視点のリスクの可視化
情報セキュリティの担当者や管理者は、個人的な経験に基づいて、セキュリティリスクを評価する傾向があります。しかし、攻撃者が常に同じ視点から標的とする組織を観察することは滅多にありません。攻撃者は常に変化し、攻撃手法も時代と共に進化をしています。その結果、今までに見たことのない、あるいは考慮されていないシステムの弱点が攻撃に利用される可能性が高くなります。このため、組織のセキュリティ対策を考える場合には、様々な意見を取り入れ、議論するように促すことが肝要です。このような考え方の多様性は、より多くのリスクを識別し、より現実的な解決策を立案するのに役立ちます。
8. スピードを重視する
万が一、セキュリティ インシデントが発生した場合は、時間を置かずにすぐに対応する必要があります。対応するのに時間がかかるほど、組織に対するダメージはより甚大になる可能性があります。調査によると、侵攻しているサイバー攻撃に関する情報を入手するために、IT管理者の半数以上が1時間以上の時間を要していることがわかっています。しかし、1時間という時間は攻撃者にとって、組織に被害を与えるに十分な時間であることは言うまでもありません。
9. セキュリティ リスクの評価プロセスの策定
リスク評価は、セキュリティ リスク マネジメントの中で重要なプロセスの1つです。このプロセスの中で行うべきことを以下に記載いたします。
- 会社のデジタル資産のリスト化
- 外部脅威(ハッキング、ランサムウェアなど)の特定
- 内部脅威(誤ったファイルの削除、データ盗難)の特定
- デジタル資産が盗難または損傷を受けた場合の被害の特定
- 被害が発生する可能性の算出
- 対応すべきセキュリティ リスクの優先順位付け
10. インシデントへの対応計画の立案
特定したリスクの優先順位を踏まえて、インシデント対応計画を策定する必要があります。脅威が検出されたときにどのような対応を行う必要があるかを把握しておく必要があります。一度立案した計画は、「俗人的にならないように文書化すること」、「事業側の変化(組織構造の変化、ビジネスの変化によるリスクの優先順位の変化)に追随するように定期的にメンテナンスすること」が必要です。
自組織のセキュリティ リスクの分析
セキュリティ リスク マネジメントは、日々進化する、洗練されたサイバー攻撃に対応するため、必ず必要な概念です。SecurityScorecard が提供するレイティング システムを利用することで、多くの組織の上層部およびセキュリティ担当部門は、企業のサイバー セキュリティ リスクを特定および軽減することができます。
SecurityScorecardは、『攻撃者が組織をどのように見ているのか』という視点で、組織に内在する脆弱性や様々な脅威を検出し、ダッシュボードに表示することで、組織のセキュリティ態勢を強化することを促します。