最近、私はサイバーセキュリティについてオランダの国会議員と興味深い議論をしました。議員のかたがたは、5Gセキュリティに関する私の見解と、380におよぶオランダの自治体連合が出したサイバーセキュリティ入札についての私の考えを知りたがっていました。
この入札は、ファイアウォール、エンドポイント保護システム、CASB(Cloud Access Security Broker)製品などのセキュリティ製品を、可能な場合は3つの異なるセキュリティベンダーから取得することを目的とするものでした。
私はここで「そういう入札のしかたはあまりよくないですね」とお伝えしました。なぜなら「サイバー脅威からの保護」とは、個々の問題に個別に解決策を提供する独立したポイント製品を購入すればそれで終わりではありませんし、いまある製品を少し安い別の製品に置き換えることでもないからです。
リスクアセスメント作成から始まる包括的戦略の必要性
効果的なサイバーセキュリティには、リスクアセスメント作成から始まる包括的な戦略が必要となります。
リスクアセスメントの最初のタスクは「ビジネスで一番大切なものを特定すること」。
つまり最も保護が必要な主要資産とデータが何であるかを特定することです。この「一番大切なもの」の例として、たとえば顧客の知的財産、クレジットカードの詳細、個人を特定できる情報、医療上の機微情報や産業上の機密情報などがあげられます。
いよいよ次のタスクが「特定した主要資産を脅かすサイバー攻撃リスクを評価すること」です。
組織の各部門から10人から15人の従業員をひとつの部屋に集め、各部門でのビジネスにおけるサイバーセキュリティリスクをブレーンストーミングで洗い出す、というのがひとつリスク評価の実践的方法でしょう。同時にこれらの従業員はこれらのリスクがどの程度実現する可能性があるかも検討すべきです。
私は以前、最高情報セキュリティ責任者(CISO)としてあるホスティング会社に勤務していたことがありますが、ここでは有用なリスクアセスメント計画を一連のブレインストーミングを通じて作成していました。これらのブレインストーミングで各リスクに数値を割り当てていくのです。リスクが現実のものになる可能性を1から5の数値でカテゴリ分けします。
ここでは1が「低リスク」、5が「高リスク」となります。そのうえで、リスクが現実のものとなった場合の影響を評価します。ここでも、1から5という数値でカテゴリ分けします。「リスクの数値」は単純にこれらの数値2つをかけ合わせたものです。
こうしたブレインストーミングのセッションを何度か重ね、ぜんぶで225個のサイバーセキュリティリスクを洗い出しました。こうして洗い出したリスクのなかには、リスク値が20以上のものもありました。つまり、現実のものとなる可能性があり、かつ会社に悪影響を及ぼす可能性があるリスクというわけです。もちろんさほど緊急性が高くないリスクもありました。
私たちが特定した脅威のなかには、たとえば「ユーザー名とパスワードをそのまま保持して休職した従業員が社内ネットワークに任意にアクセスしうること」、「データセンタで電源喪失が発生しデータ可用性が損なわれる可能性」、「システム設定ミスでデータが保護されていない状態で放置される」などがありました。
リスクアセスメントをもとに取締役会が対策導入割り当てを決定
こうしてリスク値を算出したら、それらに対し、どのようなリソースを準備して保護対策を割り当てるかを役員会が決定する運びとなります。 たとえば役員会はこのリスク値をもとに「もっともリスク値が高い15個の脅威について重点的にセキュリティ対策を行い、被害の少なそうな脅威についてはそれよりは控えめに対策する」といった決定をするのです。
リスク値を算定する利点は、これによってCISOではなく会社の役員会が決定権を持てる点にあります。リスク管理というのは結局のところ、役員会が負うべき責任のひとつなのですから。
たとえばこのとき取締役会は「従業員がログイン情報を保持したまま会社を離れることのリスク」は非常に高いと判断し、「休職する従業員は事前にIT部門に立ち寄ってユーザー名とパスワードをキャンセルする手続きをする」という対策を導入しました。休職する従業員は、この手続きを完了したことを示す文書をITから受け取ったときのみ、人事部門から休職の承認を受けられるようにしたのです。たしかに事務処理は煩雑にはなりますが、これでハッキングの脅威を減らすことはできます。各社の取締役会は、こうしたトレードオフも勘案して判断を行わねばなりません。
リスクを軽減するもう1つの解決策は、機密データへのアクセスに2要素認証を強制することです。この対策にはコストがかかりますし仕事をやりにくくする場合もあるでしょう。ですが、リスクを評価し、解決策を承認するかどうかを決定するのは、あくまでも取締役会の仕事なのです。
リスクアセスメントができている組織は少数派
残念ながら、今日の動きの速い世界でサイバーセキュリティについて適切なリスクアセスメントを実施している組織はまだまだ少数派です。ただしこのリスクアセスメントという考えかたはたしかに徐々にではありますが注目されるようになってきています。
サイバーセキュリティはこれまで、発生した特定の問題について、個別に対策を組み込むかたちで進化してきました。ここ10年のこうした流れによって積み上がった対策が肥大化し、現在の組織には平均で34個のセキュリティポイント製品が配置されていると言われています。つまり、各組織が他組織と連携することなく独立してセキュリティ対策を取っているかたちです。結果としてCISOは、ファイアウォールやウィルス対策ソフトウェアをそのつど交換することをよしとする傾向がありますが、これではセキュリティインフラの肥大化がさらに進むだけです。
本来、よく練られたリスクアセスメントだけが、CISOを筆頭にIT部門の従業員から取締役会までのすべての関係者に対し、進化する脅威状況から組織を保護するうえでリスクにさらされているものが何であるかを明確に可視化してくれるのです。
そこで、冒頭のオランダの自治体連合をふくめ、サイバーセキュリティ施策の肥大化傾向がつづいているという組織のみなさんにはぜひ「自社最大のリスクはリスクアセスメントをしないことだ」という自覚を持っていただければと思います。
※ Fred Streeflandは、Palo Alto Networksの北ヨーロッパおよび東ヨーロッパの最高セキュリティ責任者です。