情報セキュリティにおける「可視化」の重要性
本連載の第1回でも紹介しましたが、今回のISMS規格改訂では「検知」に分類される管理策の割合が増加しており、自分たちが現状どのようなリスクにさらされているのか「可視化」し、認識することの比重が高まっています。
では、なぜ今、可視化が情報セキュリティの分野で重要とされているのでしょうか。情報セキュリティに関心がある方であれば毎年注目するであろう、IPA(情報処理推進機構)が発表する『情報セキュリティ10大脅威』を追っていくと一目瞭然です。
たとえば、ランサムウェアに関する脅威。2015年はランク外でしたが、2016年には個人部門で2位、組織部門で7位として登場しており、2017年には個人・組織部門ともに2位となりました。そして2021年以降は、組織部門で1位の脅威であり続けています。
このように近年では、突然重大な脅威が発生・注目され、あっという間に被害が拡大していくケースが一般的になっています。そして、これがランサムウェアに限らないものであることはご存じの通りかと思います。
ただし、新たな脅威が登場する一方で、依然として同じような事件・事故が繰り返されていることも事実です。これは、リスクが過小評価されてしまっており、適切なリスクのインパクトを可視化できていないケースが多いためであると考えられます。不正を企てる者にとっては、見過ごされている“既知のリスク”要因を突くことが効率的であるため、決して新しいリスク要因にのみ注目すれば問題ないわけではないことも理解しておきましょう。
また、現代では不正アクセスに必要な情報がインターネット上で販売されており、不正アクセスに必要なツールも容易に入手することができてしまいます。つまり、世界中の誰もがその気になれば攻撃者になれてしまう時代でもあるということです。
このように、誰もが攻撃者になり得る状態であり、既知なものから未知なものまで追いきれないほどのリスクが存在する現代では、予防に100%の比重を置くのではなく、想定外の事象が発生してもすぐに検知し、迅速な対応を行えるようにしておくこと。これこそが現実的かつ重要な考え方だとされています。
