サイバーセキュリティのリスク管理：リスク評価の5つのステップ

企業にとって、サイバーリスクの管理と軽減はかつてないほど困難になっています。サイバー脅威は急増し、攻撃は日々巧妙化しています。生成AIがサイバーセキュリティにもたらす影響は、まだはっきりとわかっていません。その一方で、企業のデータ利用度は高まっており、今年だけで330億人以上の個人情報がサイバー犯罪者によって盗まれると、複数のエキスパートが予測しています。

サードパーティベンダーやクラウドサービスの利用定着が進む中、ITチームはベンダーリスクの高い複雑なインフラストラクチャの使用を余儀なくされています。また、機密データ保護の強化を目指した法律や規制が増加の一途をたどっており、組織はその対応に追われています。この他に、提携先のサードパーティに対する責任も負っているため、自社のリスクだけでなく、ベンダーのリスクも管理しなければなりません。

このような障害が山積する中で、組織はサイバーセキュリティによる保護を確実に強化し続ける必要があります。組織や組織を取り巻く環境が変化してもデータの安全性を確保するには、サイバーセキュリティのリスク管理を継続的に実施することが重要です。

この記事では、外部の脅威を検出し、優先順位を付け、脅威を軽減するための5つの重要なステップなど、サイバーセキュリティのリスク管理について知っておくべきことをご紹介します。

サイバーセキュリティのリスク管理とは

サイバーセキュリティのリスク管理とは、サイバーセキュリティ上の脅威を検出して分析し、優先順位を決めて対処する戦略的プロセスのことです。このプロセスを踏むことで、考えうる被害に基づいて脅威に対処し、特に重大な脅威に迅速に対応できます。

サイバー攻撃は手当たり次第に行われるわけではありません。そのため、セキュリティエキスパートは、間近に迫る攻撃の兆候を捉えるのに注目すべきポイントを心得ています。その中でも特に注意すべき情報に、以下のものがあります。

• ダークウェブでの特定の企業に関する言及
• ユーザーアカウントの認証情報などの機密データの販売情報
• フィッシング攻撃に利用するための類似ドメイン名の登録

多くの組織は、サイバーセキュリティのリスク評価を一度しか実施せず、継続的なレビュープロセスを計画したり実施したりすることはありません。そのため、環境やリスクが変化しているにもかかわらず、安全性を過信してしまう可能性があります。

(関連記事：脆弱性、脅威、リスクの関係)

継続的なリスク管理

セキュリティを絶えず確保するには、継続的なリスク管理が不可欠です。管理者は、すべてのネットワークデバイスについて、最新の攻撃方法を常に把握しておく必要があります。そして、新しいハッキングや攻撃の戦術に対抗できるように、保護対策を見直さなければなりません。

ネットワークのセキュリティを維持するには、組織内のユーザーひとり一人の協力が必要です。誰もがセキュリティリスクに対して当事者意識を持ち、責任を担うことが求められます。各部門がばらばらに対策を講じていれば済む時代は終わりました。効果的なリスク管理を実現するには、1つの統制の取れた対策を組織的に一貫して実施することが大切です。リスク管理で特に重要な活動には、次のようなものがあります。

• ベンダーリスクを評価するための効果的なポリシーとソリューションの導入
• 古いソフトウェアなど、組織内に存在する脆弱性の特定
• 最新の規制プロセスなど、新たなリスクの特定
• 新しいポリシー、トレーニングプログラム、内部統制などによるIT脅威の軽減
• セキュリティ態勢の検証
• ベンダーリスク管理の文書化

リスク管理評価の5つのステップ

リスク管理評価には、次の5つのステップがあります。

1. 評価範囲の決定

リスク管理の最初のステップは、各評価の対象範囲を決めることです。組織全体を評価の対象にすることもできますが、1回の評価で対象とするには範囲が広すぎます。通常は、特定の1つの場所、1つの事業部門、または事業の1つの要素から始めることが推奨されます。たとえば、単一のWebアプリケーションや支払い処理を評価の対象とします。

リスク評価の実施にあたっては、対象範囲のすべての関係者から全面的な協力を得る必要があります。関係者からの情報は、次のような取り組みに不可欠です。

1. 最も重要なプロセスと資産の特定
2. リスクの発見
3. 各リスクの影響の評価
4. 組織のリスク許容度の決定

誰もがリスク評価の用語(影響度や発生可能性など)を理解し、リスクを洗い出すのに全員が同じ認識を持てるようにすることが大切です。また、リスクは常に存在し、技術面でもリソース面でも、すべてのリスクに対処するのは不可能であることを意識しながらレベルを設定することも重要です。

2.リスクの検出

評価する範囲を決定し、共通の認識を持てたら、次は組織にとってのリスクを洗い出します。

資産の把握

資産を把握していなければ、その資産を保護することはできません。そのため、評価の対象となる論理的資産と物理的資産を網羅したリストを作成する必要があります。リストアップするのは、重要なビジネス資産や標的になりうる資産だけではありません。攻撃者が拠点としてコントロールしようとする可能性がある、次のような資産も含める必要があります。

• 画像アーカイブ
• 通信システム
• Active Directoryサーバー

資産リストを使用してネットワークアーキテクチャ図を作成し、プロセスと資産の間の通信経路や相互接続状況を図式化します。この図は、ネットワークへの侵入経路を特定し、脅威をすばやく検出するのにも役立ちます。

(関連資料：『エッセンシャルガイド：資産とID管理の継続的なインテリジェンス』)

脅威の検出

脅威とは、組織の資産に損害を与えるために使用されるあらゆる技術、戦術、手法のことです。脅威ライブラリやリソースは、資産に対する新たな脅威や潜在的な脅威を発見するのに役立ちます。各政府機関は、NITTF Resource Libraryなどを運営してコミュニティから提供された情報を保管し、最新の脅威に関する情報を公開しています。

結果の把握

脅威に対応する順序とその方法は、次の基準に従って判断する必要があります。

• リスクの重大度
• 起こりうる問題の重大度

特定した脆弱性を攻撃者に悪用されると、どのような結果になるのかを判断します。たとえば、規制当局による罰金、顧客データの流出、ブランドイメージの低下などです。起こりうる結果を簡単なシナリオにまとめ、各関係者がビジネス目標と照らし合わせながらリスクを把握できるようにしましょう。そうすれば、脅威に対抗するための適切な手段をセキュリティチームが決定するのに役立ちます。

(Splunkの包括的な可視化とセキュリティ監視によるSOCの強化については、こちらをご覧ください)

3.リスクとその影響の分析

ガートナー社によれば、ITリスクとは「ITの障害や誤用など、ビジネスに想定外のマイナスの影響をもたらす可能性」のことです。脆弱性を悪用する脅威が生じる可能性がどのくらいあり、その深刻度はどの程度なのでしょうか。リスクを特定したら、このような観点でリスクを分析し、特定したリスクが実際に発生する可能性と、そのリスクが組織に与える影響を判断することが重要です。

リスクの判断は発生可能性、つまりサイバー犯罪者が過去の事例に基づいて脅威や脆弱性を見つけ、悪用したり再現したりする可能性に従って行います。影響度とは、脆弱性が悪用された場合に組織が受ける損害の程度のことで、完全性、機密性、可用性への影響を各シナリオで考慮する必要があります。

この部分の評価は主観的なものであるため、正確性を担保するには、関係者やセキュリティエキスパートから情報を得ることが欠かせません。最終スコアでは、最も影響の大きいスコアを使用します。

• 発生可能性によるランク付け：1 (可能性がほぼない)～5 (可能性が極めて高い)
• 影響度によるランク付け：1 (影響が極めて重大)～5 (影響がごくわずか)

4.リスクの優先順位付け

脆弱性のリスクと、そのリスクによって起こりうる結果を把握したら、それらの優先順位を決定します。その際に役立つのがリスクマトリクス(無料のオンラインマトリクスはこちら)です。このマトリクスを作成すると、組織のリスク許容度に合わせて実施すべき対策の優先順位を決定できます。

リスクに対処する一般的な方法は次の3つです。

• 回避：リスクがメリットをはるかに上回るかどうかを判断します。リスクが上回る場合は、脅威を排除するために特定の活動を中止することも考えられます。
• 移転：アウトソーシングにより、リスクを第三者と共有できます。たとえば、サイバー保険やDDoS軽減サービスを利用すれば、脅威に自社だけで対処する必要がなくなります。ただし、金銭的リスクは軽減できても、評判の低下のような無形コストを保険でカバーすることはできません。
• 軽減：具体的な対策を講じることで、リスクレベルを効果的に管理して、許容範囲内に抑えることができます。そのためには、高いリスクを軽減するための対策を担う適切なチームを発足します。

すべてのリスクを排除することは不可能です。サイバーセキュリティ戦略では、関係者がある程度許容する必要のあるリスクが常に残ります。

5.リスクの文書化

すべてのリスクをリスクレジスターに記録することは極めて重要です。リスク管理は継続的な取り組みであるため、定期的に活動内容を見直し、あらゆるサイバーセキュリティリスクについて、常に最新の情報を把握しておく必要があります。リスクレジスターに登録すべき内容には、次のものがあります。

• リスクのシナリオ
• リスクを特定した日付
• 現在のあらゆるセキュリティ対策
• 緩和計画
• 現在のリスクレベル
• 進捗状況
• 残存リスク
• リスクの責任者

リスク管理で常にセキュリティを確保

リスク管理は、継続的なサポートを必要とする重要な取り組みです。組織のセキュリティを長期的に確保するには、サイバーセキュリティリスク管理の取り組みに、リソース、労力、時間を費やす必要があります。リスク評価を継続的に実施すれば、IT部門が新しいシステムや社内サービスを導入したり、新たなサイバー脅威や各種規制に対応したりする状況であっても、組織のビジネス目標に悪影響を及ぼすサイバー攻撃のリスクを軽減することができます。

組織の攻撃対象領域が拡大する中で、リスクを軽減して潜在的な脅威に対処するには、継続的な監視プロセスが不可欠です。

このブログはこちらの英語ブログの翻訳です。