CIO／CISOだけの仕事じゃない、CFO視点で考えるテクノロジーリスクとIT投資管理の落とし穴

サイバー攻撃対策における「投資戦略」の立て方

　サイバー侵害に対しては、発生後の対応だけでなく「備え」そのものが重要な経営判断となる。杉山氏は自然災害との比較を通じて、サイバー攻撃の特殊性を示した。

　最も大きな違いは「視認性」だ。自然災害は発生に気付きやすく被害範囲も目に見えやすいが、サイバー攻撃はそうはいかない。「サイバー攻撃は視認性が低く、目の届きにくいところで起こってしまう。実際に攻撃されているのかどうかは専用のツールを使って可視化する必要があり、これには十分な投資が必要となる」と同氏は指摘する。

　被害の広がり方も異なる。サイバー攻撃に国や地域性、季節は関係なく、常にリスクとして捉えておくことが必要だ。また、ネットワークでつながっているものすべてが攻撃対象となり、ひとたび攻撃されれば、ネットワークを介してどこまでも被害が広がっていく。場合によっては、サプライチェーン全体に影響が及ぶことになる。

　こうした特性を踏まえ、杉山氏はリスク区分に応じた投資戦略の重要性を提示した（図5）。発生確率は低いが影響が大きいリスクは、サイバー保険で手当てする。確率も影響も大きいリスクは、IT投資計画全体の見直しを検討する。そして、許容せざるを得ないリスクは、インシデント対応計画を整備して被害の最小化を図る。リスクの程度を3段階に分類した考え方だ。

　インシデント対応時の注意すべき点として、いきなりすべて復旧してしまうと、サイバー攻撃の入口や原因となった脆弱性が特定困難になってしまったり、影響の実態がわからなくなったりといった状況に陥る。よって、復旧と影響調査を同時にやらなければいけない。同氏は「これを円滑にするためには、インシデント対応・危機管理対応のプロセスを適切に整備していくことがキーになる」と強調した。