セキュリティ対策費を確保するならリスクベースで語れ：セキュリティ強化塾（3/4 ページ）

「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。

[キーマンズネット]

それでは最大のサイバーリスクって何？

　「リスクの文脈」で話すこと。それが十分な予算を確保するために必要なものだ。そのリスクの変数として、どのようなものがあるのだろうか。

　ウォーリー氏は米ベライゾンが提示する「サイバーリスク10のパターン」を例に挙げる。攻撃ベクトルには10のパターンがあり、これを基にして自社がどのパターンに対策すべきであるかを考えることができる。多くの企業に共通する10のパターンとは以下のようなものだ。

• クライムウェア
• サイバー諜報
• DoS攻撃
• 内部犯行
• さまざまなエラー
• クレジットカード（支払カード）のスキミング
• POS端末への攻撃
• 物理的なデバイス窃盗
• Webアプリケーションへの攻撃
• その他

　例えば、教育分野ではサイバー諜報やエラー、その他のパターンがほとんどを占める。一方で、金融分野をみるとDoS攻撃やクレジットカードスキミング、Webアプリケーションへの攻撃などが攻撃のほとんどを占める。また、中にはインパクトが低いパターンもあり、業種によっては例えWebサイトが攻撃され侵略されたとしても、知的財産の奪取までには至らないものもあるだろう。

　Webサイトへの攻撃はインシデントの許容度が高い場合が多いが、インシデント許容度が低い「情報漏えい」「金融詐欺」「知財窃盗」「ランサムウェア」などに対しては対策が必要な場所になるだろう。まずは自社がこれらのサイバーリスクのうち、どのパターンのサイバーリスクに気を付けるべきかを判断することが重要だ。