そのセキュリティ製品は自社にとって本当に必要か？真に対策すべきリスクを分析・把握する手順を押さえよう

リスク値の算定後にやること、実は課題も……

　ここでのリスク値とは、A～Eの5段階で算定される（Aがもっともリスクが高い）。C、D、Eは一般的にリスクが低い状態であるが、A、Bが出た場合には、現在の対策の成熟度では不足している可能性が高い。技術的対策、人的対策を含め、見直し改善された対策によって当該リスク値を下げることが求められる。

　一方で、資産の重要度や事業被害レベルが共にもっとも高い「3」の場合、最高値「3」の対策を講じてもリスクがAやBから下がらないケースがある。この問題を数学の世界で解き明かすと、3段階のレベル値で算定している限り、線形関数の域を出ず解決しない。解決させるためには、シグモイド関数などを投入して、非線形関数に変換する必要がある。

　また、IPAガイドにおける事業被害ベースのリスク分析では、そのリスク値の算定方法に課題がある。複数の攻撃ステップがある場合に直面する課題だ。たとえば、4ステップあったとしよう。先述の通り、攻撃ツリー全体における対策の選定は、各攻撃ステップに対する策の成熟度のうち、最もレベルが高いものが当該攻撃ツリーの対策として採用される。ここに問題がある。たとえば以下のようなケースだ。

　この場合、どうなるか。攻撃ステップ1と2の「対策レベル1」は無視され、成熟度がすでに高い攻撃ステップ3と4における対策が、この攻撃ツリー全体の対策として採用されてしまうのだ。

　このケースでは、攻撃ステップ1における対策がもっとも成熟度が低く、攻撃が成功してしまう可能性が高いわけで、そうなると攻撃ステップ2の成功率がさらに上がってしまう。この状況下では、攻撃ステップ3でいくら成熟度の高い対策を実施しても、突破される可能性が高くなってしまうと想定せざるをえない。もちろん、具体的な攻撃手口の内容によっても危険性は上下するため、これだけの情報で安易に判断すべきではないが、個人的に、リスク値の算定方法については改善の余地があると思う。

　ただし、IPAガイドの根底には、「情報セキュリティの専門知識を有していなくとも、まずは机上でリスク分析を実施して、自社システムのリスクを把握することが重要」という考えがある。ガイド内で脅威・対策のセットがある程度標準装備されている理由についても、リスク分析者がただちに分析に取り掛かるための門戸を広く開放するという考えがあることを、私自身もよく理解している。

　結論としては、それぞれのリスク分析者が置かれている立場に応じて、IPAガイドを上手く活用していけばよいと思う。リスクの対象となるシステムや事業、情報システムのリソースなどは、企業の事情ごとに千差万別である。

対策の前に、その対策は「どの脅威に有効なのか」

　「この製品があれば安心！」という言葉は魅力的に聞こえるが、最初に取り組むべきは自社の“守るべきもの”が何か把握し、その“守るべきものが直面しているリスク”を分析し、定性的に高いのか、低いのかを把握することだ。

1. リスク分析
2. 資産の洗い出し
3. 資産の重要度を決定
4. 脅威に対する現状の対策の成熟度を測る → リスク値を算出する

　次に、事業被害ベースでのリスク分析を行い、サイバーキルチェーン・アプローチを採用した攻撃ツリーを策定。一連の攻撃の流れに対するリスク値を算出する。そして、リスクの高い資産および攻撃ツリーに関してはさらなる対策を検討し、投資コストを判断して、当該リスクを許容するのか、回避するのか決定する。

　これが、IPAガイドに倣ってここまで説明してきた、机上でのリスク分析の手法である。本ガイドは400ページ超に及ぶ大作だが、読者の皆さんが大まかな流れを把握し、リスク分析の概要を理解できるように、今回はEnterpriseZineの協力のもとにまとめさせていただいた。

　IPAガイドのタイトルには「制御システム」との文言があるが、一般企業でも十分に活用可能な内容となっている。以下にリンクを記載するので、ご興味のある方は一度ぜひ手にとって読んでみていただきたい。

　資産とサイバー攻撃の流れに対して、自社のシステムがどの程度の耐性を備えているのか、リスク分析を改めて実施し、リスクを把握したうえで、一度立ち止まり、自社が考える情報セキュリティ戦略を見直す機会にしてはいかがだろうか。セキュリティベンダーの言いなりにならずに、自分たちの戦略は自分たちで取り決め、それを実行していくというポリシーが重要だ。セキュリティベンダーは必要な時に呼び出す。そんな姿勢でいればよいのではないだろうか。