そのセキュリティ製品は自社にとって本当に必要か？真に対策すべきリスクを分析・把握する手順を押さえよう

「この製品を導入すれば対策は十分です」は本当？

　セキュリティ製品やサービスを提供する会社（以下、セキュリティベンダー）は、最新の攻撃手段や動向を説明し、恐怖を煽ったうえで「うちの製品を導入すれば安心です。ぜひ購入をご検討ください」というセールストークを仕掛けてくる。企業の情報システム部門は、上層部から「ランサムウェアの対策、うちはできているのか？ 至急検討せよ」などといった指示のもと、対策を検討しなければならない状況に置かれている。そのため、こうしたセールストークに飛びつきたい。その気持ちはよくわかる。

　しかし、そのセキュリティ製品を導入することが、本当にその企業にとって効果的な防御になるのだろうか……？

　そもそもの問いに立ち返ってみたい。サイバー攻撃は日々巧妙化しており、攻撃者は新たな手口や仕組みを組み合わせて攻撃を仕掛けてくる。そうした巧妙な手口に対して、単発的に“よく売れている”製品を導入したところで、「自社の資産やビジネスにおける本質的なリスク」に最適な対策になっていると言えるのか、自問してみてほしい。

　ほとんどの方が、すぐにはその答えが浮かんでこないのではないだろうか。すぐに答えが浮かんできた方は、自社のリスクを把握できているということに他ならない。そうなのである。リスクを把握できていなければ、その製品が自社のリスクを低減させる役目を果たしてくれるのか、皆目見当がつかないのである。

　まずは自社のリスクを把握すること。これが何より最初にやらねばならないことである。ではリスクとは、どのように把握するのだろうか。

自社にとってのリスクとは何か、その大きさをどう表すのか

　まず、リスクとは何か。そこから考えていきたい。

　リスクとは「事故や被害、損失が生じる可能性」であり、「事故や被害の規模だけでなく、その発生確率の概念も入れて評価すべきもの」と定義されている。もっと柔らかく言えば、いわゆる「将来に何か悪いことが起こる可能性」とも言える。

　うちの会社はいつか倒産するかもしれない、私はいつか倒れるかもしれない、地球はいつか宇宙人に占拠されてしまうかもしれない……そんなことを昼夜悩んでいても仕方がない。しかし、悪いことはいつか必ずやってくるもので、悩んでいても仕方がないので、将来起こりうるリスクに今からどう対処するかを考えることが必要だ。転ばぬ先の杖、石橋をたたいて渡る、備えあれば憂いなし。

　さて、話を戻そう。リスクにどう立ち向かうか。セキュリティマネジメントに関するJISガイドラインの記述を参考に作成された次図を参照しながら考えていく。

　いつか倒れるかもしれないので、保険に加入する。これは“リスクの移転”にあたる。いつか宇宙人に占拠されるかもしれないけど、どうしようもないので何もしない。これは“リスクの許容”である。では、図の右上に「根本的対策」と記載のあるリスク回避は、どのような場面で選択するのだろうか。

　まずは、リスクを定量的に把握することが重要だ。それが発生すると、どの程度の損害金額に及ぶのか。100万、1000万、1億、10億……その金額は許容できるのか？ できるのであれば、リスクの許容になる。できないのであれば、抜本的対策を検討することになる。

　リスクを定量的に把握すること……これが火災や地震であれば、建物の現在の状態から全損金額などを試算しやすいのだが、サイバー攻撃による損害となるとなかなか難しい。そうなると、実績値を確認していくしかない。

　日本ネットワークセキュリティ協会（JNSA）が発行した『インシデント損害額調査レポート 2021年版』によると、たとえば、Webショッピングの会社が自社の顧客情報を漏えいしてしまったようなケースの場合は補償の相場が決まっており、おおまかに一人当たり3万円程度を見る必要があるそうだ。ということは、損害額は1000人で3000万、1万人で3億円に及ぶとの報告がある。

　そして同レポートの2025年版によれば、攻撃タイプ別ではランサムウェア感染が直近2年（2022年7月～2024年6月）で平均6019万円の損害額をもたらしていることが判明している。