「DXがやってくる!リスクと一緒にやってくる!!」ミツイワセキュリティニュース
DXがやってくる!リスクと一緒にやってくる!!
間もなく到来するDX全盛期。あらゆる機器はインターネットに繋がり、企業の情報はデジタル化。業務もどんどん自動化されて、5Gでまたたく間の高速処理。生産性は益々向上、売上高も右肩上がり。ハッキングもウイルスもたくさん増えて、あっという間に情報流出…
一旦、情報セキュリティインシデント(事故)が発生してしまうと、企業には大きな損失が生じてしまいます。資産や情報の喪失などの直接的な被害だけではなく、社会的信用の低下や事後対応に関連する業務負担の増大など…。
せっかくのDX推進が残念な結果にならぬよう、情報セキュリティ対策はしっかり考えておきたいですね。
今回は、情報セキュリティ対策を考える上で重要な、脆弱性とリスクの関係についてご説明いたします。
脆弱性とリスク、情報セキュリティインシデントの関係性
サイバー犯罪の企図者は、情報セキュリティの弱点である脆弱性を狙っています。脆弱性は情報セキュリティの運用管理を行う上で欠陥となる事柄を指し、そして、その欠陥がリスクを引き起こします。リスクは、情報セキュリティインシデントが発生する可能性であり、それが顕在化することによって、現実に被害が生じてしまいます。例えば、機密書類を施錠のされていない倉庫で保管していたとします。この場合、脆弱性は「倉庫が施錠されていないこと」であり、これによって誘引されるリスクは「書類が盗まれる可能性」です。実際に書類が盗まれると情報セキュリティインシデントとなり、被害が発生してしまいます。
また、リスクの程度は大小で表現され、以下に示す式によって評価されます。
リスクは変化する
従来、情報セキュリティ対策とは、「情報セキュリティインシデントが発生しない仕組みをつくって運用すること」※1です。組織における情報セキュリティの仕組みは、業務の仕組みと連動しているため、DXなどによって業務の仕組みが変更される場合には、情報セキュリティも見直されなければなりません。例えば、文書管理の仕組みを変更する場合を考えてみましょう。
紙で倉庫に保管していた文書をデジタル化してクラウドファイルサーバで管理する運用(仕組み)に変更したとします。
このような場合、先述の書類の盗難リスクとは別のリスクを考慮する必要があります。例えば、ネットワーク負荷の増大による通信の遅延や操作ミスによる大量のデータの一斉削除など。他にも、データをサイバー攻撃の被害から保護するため、クラウドサービスのセキュリティ仕様の確認もしなければならないでしょう。
※1:情報セキュリティの世界では、「情報セキュリティマネジメントシステム(ISMS)と呼ばれます
新たなリスクへの備え、最初の一歩はリスクチェック
上述のように、情報セキュリティ対策の本来的な意味合いは、「ISMSを構築運用すること」ですが、それには多大な時間と費用を要します。一方で、サイバー攻撃の技術、手法は日々変遷しており、企業の情報を保護するためには、柔軟かつ迅速な対応が要求されます。これらの背反する要因が情報セキュリティ対策のジレンマであり、多くの企業の悩みの種になっているようです。
このような課題に対し、当社では、次の手順での対策をお勧めしております。
- 企業のリスクを素早く、大まかに調査※2。危険度の高いリスクをピックアップします
- 危険度の高いリスクについて、暫定的なセキュリティ対策を実施。サイバー攻撃の被害に備えます
- ISMSの構築・改善に向け、リスクを精査※3。あらゆる可能性を洗い出し、検証します
- セキュリティ対策の計画を立て、ISMSの構築・改善を抜本的に実施します
ここで特に大事なのは、「1」と「3」のリスクチェックです。現在の状況がわからないことには、対処のしようがないので、セキュリティ対策を始めるにあたっては、リスクチェックが欠かせません。
来るDX時代の情報セキュリティ運用のために、ぜひ、貴社の状況も見直しをされてみてはいかがでしょうか。
※2:サイバー攻撃のリスク、被害を最小限に抑えるため、まず、IT環境を中心とした調査をお勧めしています
※3:セキュリティのための体制や物理的な環境も含めたリスクアセスメントをお勧めしています
