サイバーセキュリティリスク管理を知る

学習の目的

この単元を完了すると、次のことができるようになります。

• サイバーセキュリティリスク管理プログラムの目標を説明する。
  
• サイバーセキュリティリスクを管理することの重要性を説明する。
  

サイバーセキュリティリスク管理とは?

あなたの会社は新しいクラウドコンピューターサービスの契約を成立させたところです。やりましたね! この新しいテクノロジーを使用すれば、アプリケーション開発の自動化が簡単になり、新しい機会が生まれます。ただし、少し立ち止まりましょう。この新しいテクノロジーによって処理されたデータが攻撃者によって侵害された場合の影響について検討しましたか? リスクについて考えてみたでしょうか?

そこで役立つのがサイバーセキュリティリスク管理です。サイバーセキュリティリスク管理はデジタルビジネスアセットに関連するリスクを管理するプロセスです。組織のアセットの機密性、完全性、可用性を保護するために、リスクを特定し、評価し、軽減します。サイバーセキュリティリスクマネージャーである皆さんは組織のサイバーレジリエンスを強化するために、エンタープライズレベル、ビジネスユニットレベル、システムレベルでリスクを把握できるように努めます。サイバーレジリエンスとは、組織がサイバー脅威を予防、検出し、脅威が発生した場合には対応して復旧する能力です。絶え間なく変化する世界で、新しいリスクや脅威が日々発生しています。皆さんは、組織が出来事に速やかに対応し、ビジネスの中断や金銭的損失を最小限に抑えられるようにします。言うまでもなく、これは重要な役割です。

最初の例に戻って、サイバーリスクマネージャーとして皆さんは新しいクラウドコンピューティングサービスを使用するリスクをどのようにして特定しますか? まず、既知の脅威が脆弱性を悪用する可能性について検討する必要があります。たとえば、攻撃者が盗みたくなるような機密顧客データがクラウドに保存されていますか? また、クラウドで実行しているアプリケーションに攻撃者が情報にアクセスすることが可能になるような既知の脆弱性がありますか? そのような侵害が発生した場合、会社の財務、業務、評判にどのような影響がありますか? このシナリオが実際に発生する可能性はどの程度ありますか? リスクマネージャーはこのような疑問について日々考えています。

脆弱性とは、攻撃の可能性にさらされている状態と定義されます。サイバーセキュリティでは、アプリケーションのコードの欠陥によって攻撃者がアプリケーションの動作を変更したり、機密情報を盗んだりできる場合などがこれに該当します。

特定のプログラム、システム、テクノロジーのリスクが特定されたら、組織はそのリスクに対する措置を取ります。あなたが医療保険を購入しようとしていると想像してください。医療保険があれば、医療の費用についてそれほど心配しなくて済みます。事故に遭っても、良質なケアを受けて早く回復できます。保険プランを選ぶときには、各プランの給付内容とコストを慎重に検討して、自分のヘルスケアニーズに最適なものを探します。同じようにサイバーセキュリティリスクマネージャーも、サイバーリスク軽減のコストとメリットを比較して、予防策を実装したり組織に最適なアクションプランの実装をアドバイスしたりします。

保険を購入することで事故に関連するリスクが下がるように、サイバーリスクを管理することで、攻撃者にデータが侵害された場合の影響を小さくすることができます。すべてのリスクを完全に排除することは不可能ですが、サイバーリスクを管理することで、攻撃者が脆弱性を悪用する可能性を最小限に抑えることができます。攻撃者がシステムの侵害に成功した場合でも、リスク管理によってビジネスの中断と金銭的損失を最小限に抑え、組織が早く業務に戻ることができます。 

サイバーリスクを管理することの重要性

組織が新しいテクノロジーアセットを取得して、これまで以上にインターネットに密接につながると、お客様やビジネスのデータへの脅威も広がります。そこで、適切なサイバー保護を提供することで、お客様が組織に情報の保護を信頼して任せられるようにする必要があります。サイバーリスクを管理するということは、機密情報の保護について意識的な決定を行うということです。

サイバーリスクマネージャーの仕事は、リスクの特定と評価を実行しやすくして、上司からお客様までの誰もが組織のリスク許容度とそれを管理するために必要なアクションと関連コストを理解できるようにすることです。サイバーセキュリティリスクを管理することで常に正しい判断ができるとは限りませんが、特定のリスクを強要できるレベルに管理する責任者は誰かということを全員が理解できるようになります。

リスクとそれをどの程度進んで受け入れるかは組織によって異なります。ただし、サイバーリスクの管理は、金融からヘルスケア、政府、エネルギーまであらゆる業種の世界中の大小さまざまな組織にとって重要な活動です。小規模な企業はリスク管理機能をサードパーティにアウトソーシングすることもあります。皆さんの中にはそのようなベンダーとの連携を担当している方がいるかもしれません。あるいは、サイバーセキュリティリスク管理サービスを販売する企業に勤めている方もいるかもしれません。大規模な組織のサイバーリスク管理チームのメンバーであれば、包括的にリスクを理解するために企業内の多くのチームと協力し、エンタープライズリスク管理チームに統合されることもあると思います。このチームは、サイバーセキュリティリスクに加えて、組織の財務、業務、法務、その他のリスクをエンタープライズレベルで戦略的に管理します。 

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

おつかれさまでした。どのような種類の組織に勤めている場合でも、重要なことはメリットとリスク許容度の適切なバランスを見つけることです。次の単元では、サイバーセキュリティリスクマネージャーとしてのリスクのバランスに関する責務と、この役割で成功するために役立つスキルについて詳しく学習します。 

リソース

• Trailhead: サイバーレジリエンスプログラムの開発
  
• 外部サイト: ISO/IEC 27005: 2018 Information Technology—Security Techniques—Information Security Risk Management (2018 年情報テクノロジー — セキュリティ手法 — 情報セキュリティリスク管理)
  
• 外部サイト: World Economic Forum: Why Cyberrisk Should Take Centre Stage in Financial Services (金融サービスでサイバーリスクが注目を集めている理由) 
  
• 外部サイト: National Institute of Standards and Technology: Risk Management Framework for Information Systems and Organizations (情報システムおよび組織のためのリスク管理フレームワーク)
  
• 外部サイト: GitHub: Awesome-security-GRC