サイバーセキュリティリスクとビジネスへの影響を特定する
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティリスクを特定する方法を説明する。
- 組織のサイバーセキュリティリスク許容度を特定し、リスク評価手法を使用する方法を説明する。
- 改善するサイバーセキュリティギャップに優先順位を付ける方法を説明する。
ビジネスコンテキストにおけるサイバーリスクを特定する
リスクを特定しようとすることは、水晶玉の中を覗き込むことのように感じられる場合があります。実際には、リスク管理の最初のステップは、サイバー攻撃によって影響を受ける可能性のある情報アセットを特定することです。リスクを洗い出す際には、データを収集して、組織のハードウェア、ソフトウェア、顧客データ、知的財産、ユーザーが直面する脅威を理解します。
リスクを分析する場合は、一連のイベントを追跡して、あらゆる形のリスクをあらゆる角度から特定してください。特定の脅威を理解するには、脅威分析を使用できます。たとえば、従業員に関する機密性の高い身辺調査情報を盗み出そうとする国家のために、攻撃者がスパイ行為を行うかもしれません。別のケースでは、組織のアドボカシーキャンペーンに反対するハクティビストが、Web サイトを改ざんするかもしれません。攻撃者に狙われそうな脆弱性が環境内に存在し、システムが侵害されたらどのような影響があるでしょうか? この演習を行うことで、最大の脅威に基づいてリスクに優先順位を付けることができるようになります。
ここで重要な点は、サイバーセキュリティのリスクをビジネスコンテキスト内で検討することです。リスクは、発生の可能性と影響という 2 つの評価軸から構成されています。発生の可能性とは、リスクが発生する確度です。影響とは、金銭的、業務上、または信用の損失という観点から、リスクがビジネスにどのように作用するかを示すものです。さらに、リスクマネージャーは、実施されているコントロール (または、安全策や対抗策) で発生の可能性または影響のいずれかをどれほど強力に低減できているかも評価します。信頼低下の影響や、ビジネスにおけるテクノロジーと信頼の重要性については、「ソフトウェア開発者ライフサイクルのデジタルトラスト」を参照してください。
リスクを管理することは、まるで一度に複数のボールを空中でジャグリングしているかのようです。リスクを検討する場合、最終的な目標となるのは、リスクを軽減することがビジネスの収益にとって意味があるかどうか、またリスク軽減の優先順位をどのように決めるべきかを決定することです。この判断を下すためにリスクを分析する場合、組織は独自の手法を考案するか、サイバーセキュリティリスク分析を専門とするベンダーが提供するリスク評価ツールを活用します。次は、組織がどの程度のリスクを保有できるかを評価する際に、サイバーセキュリティリスクマネージャーとしてどのようにサポートできるかを学習しましょう。
リスク許容度を理解し、リスク評価手法を使用する
人生でもサイバーセキュリティでも重要なのはリスクを管理することです。サイバーセキュリティリスクマネージャーとしての職務は、組織がどの程度のリスクを受け入れられるかをリーダーが評価できるようにサポートすることです。そうすることで、組織は最も貴重な IT アセットを十分に検討し、限られた時間、人員、予算をサイバーセキュリティ体制の改善にどのように割り当てるかを決定できるようになります。
Annie は病院のサイバーセキュリティチームで働いており、病院の情報システムのセキュリティに対するさまざまな脅威から組織を守る責任を担っています。潜在的な脅威の 1 つは、攻撃者が病院のコンピューターネットワークにランサムウェア攻撃を仕掛け、スタッフが患者データの管理に使用しているマシンにログインできなくなることです。また、医師のログイン認証情報を侵害して、患者の医療データの破壊または改ざんを可能にするフィッシング攻撃も懸念されています。さらに、悪意のある行為者がスマート医療機器の脆弱性を突いて、その機器の機能を改ざんするリスクも検討事項となっています。この攻撃は、簡単に死亡に至る事態を招く可能性があります。これまでのところ、サイバーセキュリティインシデントにより患者が負傷したことはありませんが、医療機器に脆弱性があれば、未承認のユーザーが機器にコマンドを実行できるため、患者に危害が及ぶ可能性があります。
リスク評価の手法にはさまざまなものがあります。ここでは、例としてその 1 つに焦点を当てます。Annie は、確度と影響に着目するフレームワークを使用します。多数ある一般的な IT リスク評価手法では、次のような構成要素が使用されます。評価の定量化はスコアを割り当てることで行います。評価基準には、高/中/低や 1 ~ 100 などを使用できます。スコアによって、リスクに優先順位を付け、最初に対処すべきリスクを判断しやすくなります。リスクを高/中/低と評価するような定性的なプロセスを使用すると、特定のリスクに直面している類似企業の数などの定量的インジケーターや、システム所有者や脅威情報アナリストとの会話などの定性的インジケーターを検討して、発生の可能性、影響、全体的なスコアを判断できます。
|
リスク
|
可能性
|
影響
|
全体的なスコア
|
|---|---|---|---|
ランサムウェア攻撃により、スタッフがネットワーク上の患者データにアクセスすることが制限される |
中 |
高 |
中 |
フィッシング攻撃により、医師のログイン情報が侵害され、攻撃者に患者の機密情報が盗まれる |
高 |
高 |
高 |
攻撃者が医療機器の脆弱性を悪用し、機能を改ざんする |
低 |
高 |
中 |
データを調査し、適切な関係者と話をした後、Annie はフィッシングリスクの全体的なスコアが高いと判断し、これを最優先事項として取り組むことにします。システム所有者と連携して他のリスクにも対処しますが、このリスクは発生する可能性が高く、影響も大きいため、最初に対応します。
リスクを特定するときには、患者データを保護するための医療保険の相互運用性と説明責任に関する法律 (HIPAA) による規制など、業界に適用される法令、規制、ポリシー、標準に留意します。適用される標準に準拠しない場合、組織は法的リスクや規制リスクにさらされるため、細心の注意を払う必要があります。
ギャップを特定し、改善の優先順位をつける
リスクマネージャーについては、「すべてのリスクを回避するというリスクを除いて、あらゆる潜在的なリスクを考慮した」というジョークがあります。すべてのデジタルビジネスには、何らかのサイバーリスクがつきものです。組織のセキュリティに関連するリスクを理解したら、次のステップは、現在のリスク体制のベースラインを特定することです。
Annie の場合、医師のメールアカウントに対するフィッシング攻撃を防ぐために、現在どのような保護が実施されているのでしょうか? また、それは理想的なセキュリティ状態とどれほど異なっているのでしょうか? そこで、システム所有者や病院のリーダーと協力して、全体的なリスク許容度とセキュリティ戦略に沿った短期的目標と長期的目標を特定します。さらに、システム所有者に対して、メール絞り込みテクノロジーの実装を検討すること、およびサードパーティのベンダーに委託して、スタッフと共にフィッシングのシミュレーショントレーニングを実施することを提案します。このトレーニングを実施することで、病院は、患者データを侵害するフィッシング攻撃が成功するリスクが極めて低いという、望ましいリスクエクスポージャー状態への道筋を特定できるようになります。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。次のパラグラフの空欄に、ドロップダウンに設定されている選択肢から適切な語句を選択します。すべての空欄に語句を選択したら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。
おつかれさまでした。では、最終的にどのような保護策を講じるかはどのように決定するのでしょうか? 組織のセキュリティ体制に対する意識をどのように維持できるでしょうか? IT 環境全体に存在する特定のリスクすべてのバランスをどのように取るのでしょうか? 次の単元「サイバーセキュリティリスクを管理することで組織を守る」では、それぞれの疑問について詳細に説明します。
リソース
- 外部サイト: 米国標準技術局 (NIST): Cybersecurity Risks (サイバーセキュリティリスク)
- 外部サイト: Center for Internet Security (CIS): Cybersecurity Threats (サイバーセキュリティの脅威)
- 外部サイト: NIST: Risk Management Framework (リスク管理フレームワーク)
- 外部サイト: NIST: Guide for Conducting Risk Assessments (リスク評価の実施ガイド)