SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2016 講演レポート

もしも社長がセキュリティ対策を聞いてきたら?経営視点から考える安価で効果的なサイバーセキュリティ対策

攻撃者の費用対効果を下げる対策

 なお、蔵本氏はブラックマーケットの現状を紹介。たとえば、iOS のZeroDay攻撃はZerodiumでは、1件当り 150万ドルもの値がつくという。不動産1件分で攻撃コードがやりとりされているというイメージだ。ウイルスは数万円もあれば闇市から購入可能でき、比較的安易な売買も多い。なお、攻撃者はTrustwaveによると1425%の費用対効果が得られると試算されており、攻撃にかなりの額を投資している人がいて、攻撃をする人が儲かる図式となっている。

 これを踏まえてセキュリティ対策を考えると、以前は「サイバー攻撃を受けないようにする対策」と考えることが一般的だったが、現在は、「攻撃者の費用対効果を下げる対策」へと考え方をシフトするべきだという。何を目指してセキュリティ対策を行うかを強く意識することが重要だ。

 それでは、具体的に攻撃者の「費用対効果」をどうやって下げるべきか。NIST SP 800-61をベースにカスタマイズして考えてみると、まずは、やられないようにする「防御力向上」があげられるだろう。そして、やられている事をすぐに検知する「検知分析」、やられても被害を小さくする「被害軽減」 、やられた後でも、情報を保護する「事後対応」の4段階における施策が考えられる。蔵本氏は、車の運転の例を出し、「やられないようにするということは事故を起こさないようにするということと同じ。それでも事故を100%なくすことはできない。以下3つの施策は、車が事故を起こしても被害を最小化するためのシートベルトやエアバッグのようなものだ」と説明する。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

 「防御力向上」はがんばっていても、「検知分析」「被害軽減」「事後対応」がおざなりになっているとサイバー攻撃を食らった場合の被害が大きくなる、と蔵本氏は分析する。

 こうした事故・事件が多発する中、サイバーセキュリティと経営の関係も少しずつ変化をしているようだ。2014年のデータではあるが、NISCによると上場企業225社のうち136社、約60%が、有価証券報告書の事業リスク欄に「サイバーセキュリティリスクを開示する」と記載している。これまで情報セキュリティといえば「保険」という見方をされていたが、今は自社のセキュリティ対策をアピールすることが「株式会社としての株価を安定させる安心材料」であり、「株価を上げるための戦略的な施策」として位置づけられているのだ。

 とはいえ、セキュリティ対策さえすれば事業が上手くいくわけではない。はたしてサイバー攻撃への対策を考える際に、全体をどのように考えればいいのか。そのヒントとして、蔵本氏があげたのが「PEST 分析で最大公約数を考えること」である。Political(政治的要因)、Economy(経済性要因)、Society(社会的要因)、Technology(技術的要因)のそれぞれ頭文字を取ったもので、マーケティングではよく使われる分析方法だ。これをもとに考えると、政治的要因からはマイナンバー対策が必要となり、社会的要因や技術的要因としてワークスタイル変革やサイバー攻撃対策に取り組む必要がある。「PESTに共通して効果が上がるものは何か」と、いろんなところに費用対効果が波及することを考えるべきというわけだ。

出所:日本マイクロソフト株式会社 蔵本 雄一氏 Security Online Day 2016 講演資料より

次のページ
できるだけ安価かつ効果的に、ポイントをおさえたセキュリティ対策を

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2016 講演レポート 連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/8578 2016/11/14 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング