今だから再認識したいセキュリティの原則リスクマップから考えるセキュリティ対策

情報セキュリティ対策はリスク対策の一部です。したがって、セキュリティ対策をリスク対応の設計の考え方を使って整理するのは有益です。

リスク対応を考える場合、組織に存在するリスクを整理するために横軸にリスクの発生可能性、縦軸にリスクが顕在化した場合の影響度を表した図を用いる場合があります（図表１）。これは「リスクマップ」とも言われます。例えば「ハッキングによる個人情報の漏えい」と「機器故障による事業システムの停止」というリスクがある場合、どちらのリスクが大きく、対策を優先させるべきかをリスクマップを使って検討することで、より理解しやすくなります。また、発生可能性が高いリスクと判断すれば、リスクが顕在化することを予防する対策を優先すべきということになりますし、影響度が依然として高いままであると判断した場合は、さらに追加の事後的な対策を検討すべき、ということにつながります。

セキュリティ対策の基本は予防的対策

それではここからは、具体的にどのようなリスクに対してどのようなリスク対策が有効なのかを、リスクマップを使って説明していきましょう。セキュリティに限らずリスク対策は、リスクが顕在化することを予防する対策が基本となります。理由は、一般的に、リスクが顕在化した後に対策を打つほうが、予防的な対策よりも費用対効果が低いからです。顕在化するリスクの中には滅多に起こらないことが含まれていることも多く、慣れないオペレーションを強いられて対応を誤る可能性が高かったり、評判リスクなどのコントロールが難しいリスクがあったりします。したがって、リスク低減を考える場合は、できる限り予防的な対策を優先して採用することが有益です（図表2）。実際に、情報セキュリティ対策のプラクティス集として広く利用されているISO/IEC 27002や米国のNIST SP800-53などに列挙されている対策も、そのほとんどが予防的な対策となっています。

影響度が大きいリスクについては事後的な対策が必須

一般的には予防的な対策が中心になるとしても、損害額が大きくなると想定されるリスクについては、顕在化した後の対策を十分に行い、許容できる水準までリスクを低減する必要があります（図表3）。例えば、機器の故障により販売管理システムが停止し、一切の販売ができなくなったとしましょう。復旧の目処が立たないとなると、風評リスクも含めて損害は多額に上ります。しかし、機器の故障自体を機器の利用者がコントロールすることは難しいですから、故障した場合でも損害が広がらないような対策をあらかじめ考えておく必要があります。具体的には二重化や復旧の訓練の実施などが考えられます。いわゆる危機対応と言われるもので、リスクが顕在化した場合の損害を低減するために、一般的に事業継続計画などを立てて対策をすることになります。

リスク対策に経済合理性がない場合はリスク回避

リスク対策を行う上では、費用対効果の見極めが非常に重要です。発生可能性が高く、かつ影響度が大きいリスクに直面した場合、許容できる範囲までリスクを低減するために多額のコストがかかり、事業によってそれを上回る収益を見込むことが期待できないことも少なくありません。図表4は、横軸を対策費用、縦軸を対策費用と残存リスクの総量とし、対策にどれだけの費用をかければリスクを低減させ、それを上回る収益を期待できるかを図式したもので、どのような対策をしても費用と残存リスクの総量が期待収益を下回らない状況を示しています。このような場合は、「その行為自体をしない」というリスク回避、つまり事業をそもそも始めない、あるいは始めていた事業を撤退するという判断が賢明ということになります。

キャッシュフローを補う必要がある場合はセキュリティ保険も考える

リスク対策としては、不確実性を減らすという意味で保険も有効な手段の１つです。近年、サイバー保険や個人情報漏えい保険といった、損害賠償保険の１つと言える商品が話題になっています。セキュリティインシデントにより突発的に多額の資金が必要になる場合は多く、そのような手当てを保険で行うことは、資金が十分でない企業や、利益を計画値から乖離させたくない企業には有益な対策と言えるでしょう（図表5）。資金が十分にある企業であれば、自社の利益の中から一定額を引き当てておくという方法（いわゆる自己保険）という方法もあり得ます。

受容し、あえてリスクを保有する選択肢も

時間的な制約、技術的な制約、費用的な制約から、追加のリスク対策をしないことが合理的な場合もあり得ます。

図表6のような場合、対策費用と残存リスクの総量を許容できる範囲まで下げるには、bまで対策を打つ必要があります。しかし、さまざまな制約による都合上、aまでしか対策を打つことができなかったとします。この場合、リスクを許容リスク水準まで低減することができていませんが、aを最適対策点と判断し、結果的にa-bのリスクを受容することになります。こうした状況に置かれる場合は、許容水準を上回るリスクを組織が抱えていることを常に意識し、リスクが顕在化した時に、想定以上の損害を発生させないようにすることが肝要です。

セキュリティ対策は数学であり、芸術である

ここまで見てきたように、リスク対策をどのようにすればよいかは、ある程度まで論理的に整理することができます。このような整理を行うことにより、効率的かつ有効なリスク対策を練ることが机上では可能となります。しかしながら、リスクの発生可能性やリスクが顕在化した場合の影響度を厳密に見積もることはできません。適切な解を求めるために必要な情報が常に揃っているという状況は考えづらく、セキュリティ担当者は、不確実かつ不十分な情報の中で意思決定を迫られることになります。予防策をできる限り論理的に考え、最後は実務に裏打ちされた経験と感性を加味し、都度判断を下していく――。セキュリティ対策は数学であり、芸術であるとも言えるでしょう。

執筆者

丸山満彦

パートナー, PwCコンサルティング合同会社

今だから再認識したいセキュリティの原則

6 results

2021-07-06

「今だから再認識したいセキュリティの原則」彼を知り、己を知る

サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。

2021-04-23

「今だから再認識したいセキュリティの原則」SVOで考えるセキュリティ

英文法の基本形とも言えるSVOをもとに、あるべきセキュリティ対策を考えます。

2021-02-24

「今だから再認識したいセキュリティの原則」組織に最も必要なセキュリティ機能とは

どんな組織にも絶対に必要なセキュリティ機能として「セキュリティインシデント対応機能」を取り上げ、あるべき対策を考えます。

2020-12-16

「今だから再認識したいセキュリティの原則」リスクマップから考えるセキュリティ対策

セキュリティ対策のあるべき姿を、リスク対応の設計の考え方である「リスクマップ」を使って考えます。

最新のサイバーセキュリティ＆プライバシーコラム・対談

20 results

2025-05-27

米国の船舶および港湾のサイバーセキュリティ法規制最新動向

グローバルでは近年、船舶サイバーセキュリティに関する統一規則（IACS UR E26/E27）の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。

2025-05-23

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関（EASA）が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS（委員会実施規則(EU) 2023/203および委員会委任規則2022/1645）について解説します。

2025-05-21

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT（運用技術：Operational Technology）セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

2025-05-19

事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性

本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。

View all