
「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
情報セキュリティ対策はリスク対策の一部です。したがって、セキュリティ対策をリスク対応の設計の考え方を使って整理するのは有益です。
リスク対応を考える場合、組織に存在するリスクを整理するために横軸にリスクの発生可能性、縦軸にリスクが顕在化した場合の影響度を表した図を用いる場合があります(図表1)。これは「リスクマップ」とも言われます。例えば「ハッキングによる個人情報の漏えい」と「機器故障による事業システムの停止」というリスクがある場合、どちらのリスクが大きく、対策を優先させるべきかをリスクマップを使って検討することで、より理解しやすくなります。また、発生可能性が高いリスクと判断すれば、リスクが顕在化することを予防する対策を優先すべきということになりますし、影響度が依然として高いままであると判断した場合は、さらに追加の事後的な対策を検討すべき、ということにつながります。
一般的には予防的な対策が中心になるとしても、損害額が大きくなると想定されるリスクについては、顕在化した後の対策を十分に行い、許容できる水準までリスクを低減する必要があります(図表3)。例えば、機器の故障により販売管理システムが停止し、一切の販売ができなくなったとしましょう。復旧の目処が立たないとなると、風評リスクも含めて損害は多額に上ります。しかし、機器の故障自体を機器の利用者がコントロールすることは難しいですから、故障した場合でも損害が広がらないような対策をあらかじめ考えておく必要があります。具体的には二重化や復旧の訓練の実施などが考えられます。いわゆる危機対応と言われるもので、リスクが顕在化した場合の損害を低減するために、一般的に事業継続計画などを立てて対策をすることになります。
リスク対策を行う上では、費用対効果の見極めが非常に重要です。発生可能性が高く、かつ影響度が大きいリスクに直面した場合、許容できる範囲までリスクを低減するために多額のコストがかかり、事業によってそれを上回る収益を見込むことが期待できないことも少なくありません。図表4は、横軸を対策費用、縦軸を対策費用と残存リスクの総量とし、対策にどれだけの費用をかければリスクを低減させ、それを上回る収益を期待できるかを図式したもので、どのような対策をしても費用と残存リスクの総量が期待収益を下回らない状況を示しています。このような場合は、「その行為自体をしない」というリスク回避、つまり事業をそもそも始めない、あるいは始めていた事業を撤退するという判断が賢明ということになります。
リスク対策としては、不確実性を減らすという意味で保険も有効な手段の1つです。近年、サイバー保険や個人情報漏えい保険といった、損害賠償保険の1つと言える商品が話題になっています。セキュリティインシデントにより突発的に多額の資金が必要になる場合は多く、そのような手当てを保険で行うことは、資金が十分でない企業や、利益を計画値から乖離させたくない企業には有益な対策と言えるでしょう(図表5)。資金が十分にある企業であれば、自社の利益の中から一定額を引き当てておくという方法(いわゆる自己保険)という方法もあり得ます。
時間的な制約、技術的な制約、費用的な制約から、追加のリスク対策をしないことが合理的な場合もあり得ます。
図表6のような場合、対策費用と残存リスクの総量を許容できる範囲まで下げるには、bまで対策を打つ必要があります。しかし、さまざまな制約による都合上、aまでしか対策を打つことができなかったとします。この場合、リスクを許容リスク水準まで低減することができていませんが、aを最適対策点と判断し、結果的にa-bのリスクを受容することになります。こうした状況に置かれる場合は、許容水準を上回るリスクを組織が抱えていることを常に意識し、リスクが顕在化した時に、想定以上の損害を発生させないようにすることが肝要です。
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
英文法の基本形とも言えるSVOをもとに、あるべきセキュリティ対策を考えます。
どんな組織にも絶対に必要なセキュリティ機能として「セキュリティインシデント対応機能」を取り上げ、あるべき対策を考えます。
セキュリティ対策のあるべき姿を、リスク対応の設計の考え方である「リスクマップ」を使って考えます。
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。