リスクマネジメントに必要な3要素
藤本正代教授は、米マサチューセッツ工科大学(MIT)科学技術政策大学院を修了し、東京工業大学で社会理工学研究科経営工学を専攻、博士を取得。メーカーや保険会社のシンクタンクを経て、情報セキュリティ大学院大学の専任教授を務めている。研究してきた分野として、電子会議システムの利用促進に向けた研究、医療の情報化に関する研究、情報セキュリティ・リスクマネジメントに関する研究などを挙げた。
研究者としての経歴の前半では、いかに情報技術を活用して我々の生活を豊かにできるかといった観点から研究を続けてきたという。その後、情報技術を安心・安全に利用するための対策についても研究を進め、サイバーセキュリティやリスクマネジメントとの接点が生まれたと藤本教授。現在は、「イノベーションとセキュリティの同時推進」をテーマとし、研究に取り組んでいる。
藤本教授はまず、昨今のサイバーインシデント状況について説明。情報セキュリティ脅威の現況を示すものとして、情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威 2024」を紹介した。たとえば、ランサムウェアによる被害が多ければ、その対策としてソフトウェアの更新やセキュリティソフトの利用が叫ばれる。このように、よく語られる対応・対策は技術的なものが中心であることを指摘。技術的な対応のみならず、セキュリティを推進するための組織体制の確立や、被害を受けた後の対応など、非技術的なセキュリティ対策手段も重要であることに触れた。
ランサムウェアの被害に遭った医療機関の報告書を見ると、ネットワーク(VPN)装置は導入当初からソフトウェアの更新が行われておらず、以前から日本国内でも話題になった「CVE-2018-13379」が放置された状態であったことがわかる。この脆弱性を悪用して侵入した可能性が高いと報告書には記載されている。こうした被害事例を踏まえ、「最新のサイバーセキュリティ脅威を踏まえてシステムの脆弱性を検討し、対策を行うといった流れでマネジメントを実施する必要があります」と藤本教授は説く。
[画像クリックで拡大します]
「基本的には、公開されている脆弱性に対処していけば問題ないはずですが、公開される脆弱性は年々増加しているため、すべての脆弱性に対処することは難しいです。もちろん、公開される情報の中には自組織で使用していない機器と関連していない脆弱性もあります。どのような基準で優先順位を決定し、どの脆弱性に対応するのかといったマネジメントが必要です」(藤本教授)
3つの観点でリスクと向き合う
情報セキュリティマネジメントを行うにあたって必要なポイントは何か。藤本教授は「情報資産、脅威、既存の対策や脆弱性を考慮してリスクを定量的・定性的に評価し、優先順位をつけて適切に対応すること」「プロセス全体を通じて利害関係者に情報を提供し続けること」「継続的に監視およびレビューし、適切に対応すること」の3つを重要な観点として挙げた。
ここで考慮すべきことは、対象となる情報資産が利益を生み出すものか、社会的責任として守るべきものかなどを見極めること。対応するセキュリティリスクに優先順位をつけるには、リスクの評価が重要となる。セキュリティ対策を実施してリスクを軽減するだけでなく、リスクを受け入れること(リスクの保有)や、ほとんど使用されていない機器やソフトウェアの使用を中止すること(リスクの回避)、そしてサイバー保険への加入など(リスクの第三者との共有)も選択肢として考えるべきだとした。そして、先に挙げた3つのポイントを実現するには「組織的な仕組み作り」が必要であると藤本教授は主張する。
[画像クリックで拡大します]
