NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2023.7.7技術トレンド/展望

リスク管理は万全ですか?セキュリティリスク可視化の2つのポイント

企業を取り巻くセキュリティリスクが刻一刻と変化し、複雑化・多様化している中、企業を安全に経営するためには、各企業のビジネスに立脚し勘所を押さえたリスク管理を実施することが重要である。本稿では、そのポイントを紹介する。
目次

1.複雑化・多様化するセキュリティリスクとCISOの役割

企業を標的としたサイバー攻撃は日に日に高度化しています。さらに、グローバル化やワークスタイルの変化、サプライチェーンの複雑化等、企業の運営スタイルも様々に変化しています。このような中、企業を取り巻くセキュリティリスクは複雑化・多様化しており、その状況は刻一刻と変化しています。
そして、そのように複雑化・多様化したセキュリティリスクの管理は、情報セキュリティの主管部門だけが担う話ではなくなってきています。「サイバーセキュリティ対策は経営課題である。」と広く言われている通り、情報セキュリティの主管部門だけでなく、経営層を巻き込み、全社的にセキュリティリスクの管理およびセキュリティ対策の推進を実施することがますます求められています。
このように、経営層を巻き込んでセキュリティリスクを管理するにあたっては、各企業のセキュリティに関する責任者であるCISO(※)やCISOと同等の権限を持つポジション(これ以降、CISO等という。)が果たす役割が重要です。CISO等には、複雑化・多様化するセキュリティリスクを適切に管理することに加え、セキュリティリスクの管理状況を経営層に理解させ、対応の重要性を訴求することが求められます。

(※)CISO(Chief Information Security Officer)

企業や組織における情報セキュリティの最高責任者のこと。リスクの管理や、セキュリティ対策の推進、社内における教育等を実施し、企業や組織の情報セキュリティを統括する役割を担う。

2.リスク管理の難しさ

前章では、リスク管理が重要であることをお話ししましたが、複雑化・多様化しているセキュリティリスクを管理するのはかなり難しいのが現状です。各企業が考慮すべき膨大なセキュリティリスクを、やみくもに把握しようとすると、本当に重要なセキュリティリスクを見落としてしまうおそれがあります。また、リスク管理に多くの時間を要することによりリスクへの対応が遅れてしまったり、多大なコストがかかることでコンスタントかつ継続的なリスクの把握を実施できなかったりすることも考えられます。
リスク管理が重要であるということは分かっていても、「どこから手を着けたら良いかが分からない。」「結局、自社の場合はどのようなセキュリティリスクを把握すれば良いかが分からない。」という課題をお持ちの方も多いのではないでしょうか。

また、経営層へのセキュリティリスクの報告に関しても、一筋縄ではいかないことが多く、セキュリティの専門家ではない経営層に対し、ビジネスの視点を踏まえてセキュリティリスクの状況を説明し、セキュリティ対策の重要性を理解してもらうのは難しいと感じている方も多くいます。経営層としても、セキュリティリスクの状況がよく理解できず、「とにかくセキュリティを強化せよ」という指示を出さざるを得ないという場合も往々にしてあるのではないでしょうか。

3.リスク管理のポイント

では、どのようにセキュリティリスクを管理すれば良いのでしょうか。私たちは、まずは「リスクの可視化」が最重要であると考えます。可視化にあたっては、セキュリティリスクの状況を把握するための指標を設定し、その指標に沿って把握したセキュリティリスクを、経営層に理解してもらえるような形で示すことが大切です。

【ポイント1】指標の設定

企業が考慮すべき膨大なセキュリティリスクのうち、その企業にとって本当に重要なセキュリティリスクにフォーカスして把握するための「指標」を設定することがポイントの1つ目です。把握するべきセキュリティリスクは、企業の成熟度や業種等、企業の状況や特徴によって異なります。企業にとって重要な、つまり、企業のビジネス推進に特に影響を与えるセキュリティリスクを洗い出し、指標を設定した上で当該リスクを把握することが大切です。
例えば、工場を持つ製造業の企業の場合を考えてみましょう。工場内の制御ネットワークがインターネットと接続している場合、事業の根幹を成す制御システムが、インターネット経由でマルウェアに感染するリスクがあります。そのようなリスクに対しては、工場内の制御ネットワークとインターネットの境界におけるネットワーク監視製品の導入率や異常検知数等を指標として設定することが効果的です。
また、工場内のネットワークがインターネットに接続しない閉域である場合であっても、工場内の機器をメンテナンスする際に使用する外部機器からマルウェアに感染するリスクが考えられます。そのようなリスクに対しては、メンテナンス時に利用する外部機器に関して、特定された重大脆弱性の合計数やそのうち未対応である脆弱性の数等を指標として設定することが有効でしょう。

このように、様々な企業の状況や特徴を考慮して、セキュリティリスクを把握するための指標を設定することで、セキュリティリスクが複雑化・多様化する中であっても、的確にリスク管理を実施することができます。

図1:製造業におけるリスクの指標化観点例

図1:製造業におけるリスクの指標化観点例

【ポイント2】経営層に向けた可視化

把握したセキュリティリスクは、経営層の意思決定に繋がる示唆を与える形で、ダッシュボード等により可視化することがポイントの2つ目です。「どのようなセキュリティ対策がどれくらいできていないか、それにより企業としてどのようなリスクがあるか」ということが一目に分かるよう可視化されていることで、経営層は必要なセキュリティ対策に対し、適切に予算の確保・配分が実施できるようになります。

図2:経営層に向けたリスクの可視化例

図2:経営層に向けたリスクの可視化例

4.まとめ

どのような企業においても、重要なセキュリティリスクを把握するための指標を設定し、それを経営層に対して示唆を与える形で可視化することで、企業全体として、複雑化・多様化するセキュリティリスクに対して高品質な管理を実現することができます。NTTデータでは、そのようなセキュリティリスクの管理をご支援しています。

お問い合わせ