今だから再認識したいセキュリティの原則 リスクマップから考えるセキュリティ対策

情報セキュリティ対策はリスク対策の一部です。したがって、セキュリティ対策をリスク対応の設計の考え方を使って整理するのは有益です。

リスク対応を考える場合、組織に存在するリスクを整理するために横軸にリスクの発生可能性、縦軸にリスクが顕在化した場合の影響度を表した図を用いる場合があります(図表1)。これは「リスクマップ」とも言われます。例えば「ハッキングによる個人情報の漏えい」と「機器故障による事業システムの停止」というリスクがある場合、どちらのリスクが大きく、対策を優先させるべきかをリスクマップを使って検討することで、より理解しやすくなります。また、発生可能性が高いリスクと判断すれば、リスクが顕在化することを予防する対策を優先すべきということになりますし、影響度が依然として高いままであると判断した場合は、さらに追加の事後的な対策を検討すべき、ということにつながります。

図表1: リスクマップ

セキュリティ対策の基本は予防的対策

それではここからは、具体的にどのようなリスクに対してどのようなリスク対策が有効なのかを、リスクマップを使って説明していきましょう。セキュリティに限らずリスク対策は、リスクが顕在化することを予防する対策が基本となります。理由は、一般的に、リスクが顕在化した後に対策を打つほうが、予防的な対策よりも費用対効果が低いからです。顕在化するリスクの中には滅多に起こらないことが含まれていることも多く、慣れないオペレーションを強いられて対応を誤る可能性が高かったり、評判リスクなどのコントロールが難しいリスクがあったりします。したがって、リスク低減を考える場合は、できる限り予防的な対策を優先して採用することが有益です(図表2)。実際に、情報セキュリティ対策のプラクティス集として広く利用されているISO/IEC 27002や米国のNIST SP800-53などに列挙されている対策も、そのほとんどが予防的な対策となっています。
図表2: 予防的対策でリスクを低減する

影響度が大きいリスクについては事後的な対策が必須

一般的には予防的な対策が中心になるとしても、損害額が大きくなると想定されるリスクについては、顕在化した後の対策を十分に行い、許容できる水準までリスクを低減する必要があります(図表3)。例えば、機器の故障により販売管理システムが停止し、一切の販売ができなくなったとしましょう。復旧の目処が立たないとなると、風評リスクも含めて損害は多額に上ります。しかし、機器の故障自体を機器の利用者がコントロールすることは難しいですから、故障した場合でも損害が広がらないような対策をあらかじめ考えておく必要があります。具体的には二重化や復旧の訓練の実施などが考えられます。いわゆる危機対応と言われるもので、リスクが顕在化した場合の損害を低減するために、一般的に事業継続計画などを立てて対策をすることになります。

図表3: 影響度が大きいリスクは事後的対策でリスクを低減する

リスク対策に経済合理性がない場合はリスク回避

リスク対策を行う上では、費用対効果の見極めが非常に重要です。発生可能性が高く、かつ影響度が大きいリスクに直面した場合、許容できる範囲までリスクを低減するために多額のコストがかかり、事業によってそれを上回る収益を見込むことが期待できないことも少なくありません。図表4は、横軸を対策費用、縦軸を対策費用と残存リスクの総量とし、対策にどれだけの費用をかければリスクを低減させ、それを上回る収益を期待できるかを図式したもので、どのような対策をしても費用と残存リスクの総量が期待収益を下回らない状況を示しています。このような場合は、「その行為自体をしない」というリスク回避、つまり事業をそもそも始めない、あるいは始めていた事業を撤退するという判断が賢明ということになります。

図表4: 対策費用と残存リスクの総量と期待収益

キャッシュフローを補う必要がある場合はセキュリティ保険も考える

リスク対策としては、不確実性を減らすという意味で保険も有効な手段の1つです。近年、サイバー保険や個人情報漏えい保険といった、損害賠償保険の1つと言える商品が話題になっています。セキュリティインシデントにより突発的に多額の資金が必要になる場合は多く、そのような手当てを保険で行うことは、資金が十分でない企業や、利益を計画値から乖離させたくない企業には有益な対策と言えるでしょう(図表5)。資金が十分にある企業であれば、自社の利益の中から一定額を引き当てておくという方法(いわゆる自己保険)という方法もあり得ます。

図表5: セキュリティ対策としての保険

受容し、あえてリスクを保有する選択肢も

時間的な制約、技術的な制約、費用的な制約から、追加のリスク対策をしないことが合理的な場合もあり得ます。

図表6のような場合、対策費用と残存リスクの総量を許容できる範囲まで下げるには、bまで対策を打つ必要があります。しかし、さまざまな制約による都合上、aまでしか対策を打つことができなかったとします。この場合、リスクを許容リスク水準まで低減することができていませんが、aを最適対策点と判断し、結果的にa-bのリスクを受容することになります。こうした状況に置かれる場合は、許容水準を上回るリスクを組織が抱えていることを常に意識し、リスクが顕在化した時に、想定以上の損害を発生させないようにすることが肝要です。

図表6: 対策費用+残存リスクの総量と許容リスク

セキュリティ対策は数学であり、芸術である

ここまで見てきたように、リスク対策をどのようにすればよいかは、ある程度まで論理的に整理することができます。このような整理を行うことにより、効率的かつ有効なリスク対策を練ることが机上では可能となります。しかしながら、リスクの発生可能性やリスクが顕在化した場合の影響度を厳密に見積もることはできません。適切な解を求めるために必要な情報が常に揃っているという状況は考えづらく、セキュリティ担当者は、不確実かつ不十分な情報の中で意思決定を迫られることになります。予防策をできる限り論理的に考え、最後は実務に裏打ちされた経験と感性を加味し、都度判断を下していく――。セキュリティ対策は数学であり、芸術であるとも言えるでしょう。

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email


最新のサイバーセキュリティ&プライバシー コラム・対談

20 results
Loading...

「営業秘密」の保護と利活用

営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

Loading...
We unite expertise and tech so you can outthink, outpace and outperform
See how