『これで万全』はない情報セキュリティ対策、だからこそ重要なリスクベースアプローチ

万全な対策は存在しない情報セキュリティ

独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」の2020年版では、「内部不正による情報漏えい」が前回の5位から2位に、「予期せぬIT基盤の障害に伴う業務停止」が圏外から6位に浮上した。
こうした背景には、働き方改革の推進により社内で利用する情報端末が増えたことや、近年発生した大規模な自然災害やシステム障害などの影響が大きく、企業がBCP(事業継続計画)を見直す契機となっている。

さらに現在は、新型コロナウイルス感染防止対策の一環としてテレワークが急増したことによる情報セキュリティリスクが高まっている。
例えば、急遽テレワークを実施することになり私物のPCを使ったところ、セキュリティ対策が十分ではなくコンピュータウイルスに感染してしまうといったケースや、テレワークで使用するパソコンを家族と共有していたため、家族の不注意により機密情報が外部に漏洩してしまう、といったケースが考えられる。

これに加え、今後はAIやIoTを活用した企業活動を標的とした新たなサイバー攻撃の脅威も予測されている。特に、急拡大するIoTの活用においては、物理的に外部ネットワークにつながっていないシステムや機器であっても、持ち込み端末やソフトウェアを機器のインターフェイスやネットワークに接続して利用するなかで、間接的に外部とつながりマルウェア侵入を許してしまい、重大インシデントが発生してしまうといったケースもある。企業が保護しなければならないデバイスやアプリケーションの数は大幅に増えるとみられており、企業としてネットワーク全体のセキュリティ強化が求められている。

とはいえ、情報セキュリティ対策に「ここまで実施すれば十分」といった指標は存在せず、サイバー攻撃を完全に防止することは不可能に近いのが現状である。その結果、リスクマネジメントへの取り組み方も「いかにリスクを予防するか」という考え方から、「いかにリスク発生前提のもとで備えるか」という考え方に大きくシフトしてきている。

最速で復旧して事業への影響を最小化、サイバーレジリエンスという概念

そこで近年は、サイバーレジリエンスという考え方に注目が高まっている。サイバーレジリエンスとは、「すべてのリスクを排除することは不可能である」ことを前提に、先を見越して事前に情報セキュリティに関する施策を練っておくことであり、万が一サイバー攻撃を受けたとしても「最速で復旧して事業への影響を最小化する」という概念である。

今後、企業にはサイバー攻撃の侵入を前提として迅速に検知する「被害を極小化する力」、さらには被害を受けてシステムやネットワークが停止した場合や、被害を抑えるために能動的にシステムやネットワークを停止した際の「早期に復旧する力」が求められてくる。

だが、サイバーレジリエンスの取り組みでは当然にコストが伴うため、際限のない対応を取ることはできない。そこで、レジリエンス向上の鍵となるのがリスクベースアプローチである。

レジリエンス向上の鍵となるリスクベースアプローチ

リスクベースアプローチは、組織に存在する情報セキュリティリスクを把握し、リスクに応じた緩和策や顕在化した場合の影響を最小化できる対応策を講じるという方法である。リスクベースアプローチは、リスクを見える化して共有できるため、予防策や再発防止策が取りやすいこと、対策の目的が明確になり、情報セキュリティへの過剰投資を抑制できるというメリットがある。

リスクベースアプローチでは、「リスクアセスメント⇒リスクの予防⇒有事への備え⇒有事の対応」という流れで対応を進めていく。特にポイントとなるのが「リスクアセスメント」である。事業やサービスを分析し、重要業務や重要情報資産を特定し、脅威の洗い出しや脆弱性評価を通して課題を抽出する。

しかし、重要業務や重要情報資産を特定する方法がわからないという企業も多いだろう。そこで、例として組織の情報セキュリティマネジメントで用いるISMS(Information Security Management System：情報セキュリティマネジメントシステム)の手法をみていく。

ISMSでは、情報資産ごとに「重要度」、「脅威」、「脆弱性」の3つのポイントを用いて「リスク値」を算出し、リスクアセスメントに対応する。
リスク値は「重要度」、「脅威」、「脆弱性」にそれぞれレベルを設け、そのレベルを乗算して算出するのが定石である。重要度は「機密性」、「完全性」、「可用性」と細かく3つに分類されるため、この中から最も高いレベルを重要度のレベルとして採用する（図1）。

（図1：情報資産ごとに重要度、脅威、脆弱性を分析）

その後、重要度と脅威、脆弱性のレベルをそれぞれ乗算することで指標化していく。リスク値は、「リスク値=重要度レベル×脅威レベル×脆弱性レベル」という式で算出される。

この対応を個々の情報資産において実施していく。リスク値の算出は非常に手間のかかる作業だが、客観的に情報資産の重要度合いやリスクの状態を可視化できる。
例えば、ある企業で普段事務作業に使っている1台のインターネット接続済みパソコンのリスク値について考えてみた場合、以下のようになる。

＜重要度について＞
パソコンにはログインパスワードがかかっていると仮定すると、関係者のみの公開になっているため、機密性レベルは「3」。改ざんを受けても社内への限定的な影響のため、完全性レベルは「1」。1日停止しても業務に大きな影響はないので、可用性レベルは「1」。そのため、重要度レベルは機密性レベルを引用して「3」となる。

＜脅威について＞
インターネットに接続しているパソコンは常に危険にさらされている。ウイルス対策ソフトに守られているとはいえ、ウイルス検知が頻繁に発生することもあるだろう。脅威レベルは「2」を選択する。

＜脆弱性について＞
パソコンにはウイルス対策ソフトがインストールされている。またセキュリティワイヤーで自席に固定されており、事務室への入室もパスワードで制限されている。自社の規定上は適切な管理がなされていると判断されるため、脆弱性レベルは「1」とする。

＜リスク値算出＞
リスク値は3(重要度レベル)×2(脅威レベル)×1(脆弱性レベル)=6となる。このリスク値を全情報資産について算出し、対応の優先度を決める。

このリスク値を優先度として脅威の洗い出しや脆弱性評価、課題抽出を実施していくと、客観的に情報セキュリティへの対応を進めることが可能となる。

情報セキュリティへの取り組みは組織のトップが主導すべき

このように、企業の情報セキュリティにおいては、企業の情報資産を守り、その資産の重要性、関連脅威、脆弱性を考慮したリスクを低減させる必要がある。

そのためにはネットワーク、システム構築、運用などに関わる情報セキュリティ技術が必要であり、人材教育、組織体制の確立、資産管理の徹底などのマネジメントを推進する活動も必須となる。特にレジリエンス向上のプロセスにおいては、あれもこれもと際限のない対応にならないように、リスク値の算出のようなリスクアセスメントを実施して優先順位を付け、ロードマップを作成して計画的に対策を実施していくことが重要である（図2）。

（図2：レジリエンス向上のプロセス）

また、セキュリティ脅威に関する情報共有の枠組みを広げていくことも必要である。経済産業省とIPAがリリースした「サイバーセキュリティ経営ガイドライン Ver 1.0」では、「重要10項目」の一つとして「情報共有」を挙げている。
日本では、金融ISAC(Information Sharing and Analysis Center：情報共有分析組織)や Telecom-ISACなど、セキュリティ脅威の情報共有分析機関が設立されてきてはいるものの、まだまだセキュリティ脅威の情報共有に関する動きは弱い。
情報共有が進まない背景にあるのは、情報共有の仕組み不足や法律上の懸念、他社からの情報に対する信頼性などの問題である。
しかしながら、いつまでもセキュリティ脅威の情報を囲い込んでいると、社会全体の発展は遅れてしまう。すべての企業がセキュリティ脅威にさらされている現代では、その脅威情報を共有してこそ攻撃の拡大が防止される。

ただし、こうした考え方や仕組みを定着させるには多くの時間が必要になってくる。セキュリティ脅威に対する取り組みは、セキュリティ対策の現場ではなく、組織のトップが主導して取り組んでいくべきだろう。

世の中の状況に合わせた適切な情報セキュリティ対策を

情報セキュリティ対策は常に変化するもので、リスクベースのアプローチや情報共有の枠組みの広がりといった変化も、あくまで現況に過ぎず、将来的に変化していく可能性がある。

情報セキュリティ対策に終わりはなく、状況の変化に応じて組織のリソースを柔軟に割り当てていけるようにすることが重要である。

◎製品名、会社名等は、各社の商標または登録商標です。