Pocket

[特集]リスク管理とデータ・プロテクション ― 多重・多層防御を考慮した中長期戦略策定 ―

サイバー攻撃の潮流は、大量かつ速攻的なシステムダウンを狙った攻撃から、静寂型攻撃へと変化してきている。企業は、さまざまな攻撃から予見されるインシデントを検知できるよう多重・多層の対策を行うとともに、より巧妙になりつつある内部不正に対してセキュリティ対策の向上に努めるべきである。

多重・多層管理の重要性

企業が取るべきデータ・プロテクション

  • では、サイバー攻撃に対して企業が取るべきデータ・プロテクションにはどのようなものがあるだろうか。これまでのセキュリティ・マネジメントを見直す(規程類、マニュアルの整備含む)とともに、まず守るべき資産は何かを企業内で明確に定め、データの重要度を4~5段階に分け、技術的な対策を考えていく必要がある。そして、重要な資産に対してリスク分析を行い、事業上の社会的影響力(影響力は業態や業種、企業規模や、ブランド、企業風土により異なる)と事業上の損失によるリスクマップを作成することを推奨する。これらの作業を行うことでインシデント時の被害額を想定することにもつながり、セキュリティ投資としての妥当性判断にも有効となる。

    この重要資産を守るために、例えば図2のような7つの対応策を考慮、検討すべきである。昨今では①~③のネットワーク上の対策の他、④の脆弱性診断、⑤の内部の振舞いを検知することがとても重要である。また、先進企業において採用されているSIEM(Security Information and Event Management)は運用が困難という課題があったが、今後はインテリジェントな機械学習やAI技術を利用した次世代SIEMの導入が進んでいくと考えられる。フォレンジックという技術はこれまではインシデント後に弁護士などのチームとともに使用される技術であったが、グローバル企業を中心に予防的な利用方法が進んでいる。

    図2.7つの技術的対策方法 7つの技術的対策方法

リスク管理のためのデータ・プロテクション

  • データ・プロテクションとしてリスク分析後の具体的な管理方針の策定からセキュリティ対応計画の策定までを行うには、図3のような流れで考慮するとよい。

    まず、採用したフレームワークに照らし合わせ、要求事項の不足を分類し、組織的なマネジメントのルールが必要なのか、ソリューションで対応するのかなどを検討する。特に前述のリスク分析において情報資産のオーナーを定めることはデータ・プロテクションとして非常に重要な観点である。

    例えばマイナンバーについては資産オーナーを定め、社内にある個人情報と簡単に照合できないようにすることが重要である。ツールを導入することでリスクレベルは下げられる傾向にあるが、その際に考慮するポイントはいかにログの管理を行いインシデントの検知につなげるかである。

    リスク管理のためのデータ・プロテクションの流れとしては、情報資産価値を基にリスク対策、ルールの検討を行ったのち、そのリスクごとにオーナーを定めリスク低減計画を立てる。この際、情報資産のライフサイクルに従ってリスクを管理することが重要である。リスク管理計画の実行に際しては、目標管理とモニタリングを含めたKPI管理を行うことが今後の残留リスクを把握するうえで有効な活動となる。

    図3.リスク管理のためのデータ・プロテクションの流れ リスク管理のためのデータ・プロテクションの流れ

提言

お電話からの
お問い合わせ
03-5304-1301平日9:30 〜 17:30(土日祝は除く)