セキュリティ対策費を確保するならリスクベースで語れ：セキュリティ強化塾（4/4 ページ）

「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。

[キーマンズネット]

発生してはいけないインシデント、発生しても何とかなるインシデント

　インシデントごとに発生確率と影響度を考えると、本当に投資すべき場所が見えてくる。例えば、知財情報を盗み出すような情報漏えいというインシデントの場合は、影響度が大きいために発生確率自体を下げる必要がある。いったん知財が盗まれたら、もはや何もできないからだ。そのための予防や緩和に投資を行うべきだろう。

　半面、ランサムウェアは攻撃が行われてしまったとしても、その後の正しいオペレーションで対策可能だという考え方もできる。発生確率は高いインシデントながら、既にマルウェアに対するセキュリティコントロールができていたり、バックアップが行われていたりしたら影響度を押さえられるサイバーリスクといえる。また、発生確率を低くするために、パッチ適用をもう少し厳しくコントロールしたり、自動バックアップという手法をとったりもできる。

　このように投資先を整理し、インシデントに対して「絶対にダメ」というものにのみ投資を考えるべきなのだ。投資の方向を決めることができれば、そのコストも計算ができる。

　例えば、これまでに発生した米国における情報漏えいインシデントの対応コストを調べてみると、カテゴリごとの被害額とともに、総被害額が700万ドル（約8億円）を超えていることが分かる。これを国ごとに影響額を調査し、今後24カ月において自社が被害に遭う可能性や、新たに投資するコスト額をパラメーターとして計算すれば、投資によって年間でどの程度のリターンが得られるかを算出できる。

　「攻撃は巧妙化し、高速化しています。デジタルインフラが分散化し、複雑化しているので、リスクがさまざまなところに生まれます。攻撃に対して自分たちの組織を強化しないと立ち向かえません。それでも情報漏えいは起きてしまうのです」（ウォーリー氏）

　この問題を解決するためには、サイバー攻撃に対して備える方法を変えなくてはならない。つまり、「リスクベースのアプローチ」だ。そのためには、犠牲にしてもいいものと一番重要なもの、絶対に犠牲にできないものを把握し、後者にフォーカスすべきだ。

　自社において「持続可能な領土」を把握することができるか。この講演を、新たな守り方を考えるきっかけにしたい。