• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

社長に「よし、分かった」と言わせるセキュリティ会話術

「サイバー攻撃を完全に防げ」と言われたら、“折衷案”で説得しよう

蔵本 雄一 2017/03/16 日経コミュニケーション
出典:日経コミュニケーション 2016年4月号pp.44-47
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

 セキュリティ対策と言えば、「サイバー攻撃をいかに防ぐか」という防御方法がまず思い浮かぶかもしれない。ただし高度化する最近のサイバー攻撃に対して、防御方法を充実させるだけの取り組みでは、十分とは言えない。では、どうすれば効果的なセキュリティ対策を講じられるのか。今回は5つのケーススタディーで見ていこう。

「0」か「100」という考えに陥りがち

 最初に紹介するのは、経営層とセキュリティ担当者の間で交わされがちな、次のような会話だ。

経営層:企業がサイバー攻撃を受けると、株価が大幅に下落して数百億円の時価総額が吹っ飛んだり、経営陣が退任したりするケースが散見されるね。

セキュリティ担当者:最近は、株主も企業から情報が漏洩すると株価が下がることを知っています。セキュリティの事故が経営へのダメージに直結するケースも増えてきました。

経営層:ところでうちのセキュリティ対策は大丈夫かね。すべてのサイバー攻撃を完全に防いで、絶対に侵入できないような対策を頼むよ。

 このように、「サイバー攻撃からのダメージをゼロにするセキュリティ対策」を目指す企業は珍しくない。しかし、ますます狡猾になっていくサイバー攻撃に対して、ダメージをゼロにする対策をひたすら追求することは、正しい目標と言えるのだろうか。

 先の会話を振り返ってみよう。セキュリティ対策ではよく、ダメージを「0」か「100」で考えがちだ。セキュリティ対策がしっかりとできていれば「ダメージは0」、逆に対策むなしくサイバー攻撃を受けてしまったら「ダメージは100」という考え方だ。

 ただし「すべてのサイバー攻撃を完全にシャットアウトする」という前提に立つと、防ぐことができなかった場合を想定せず、対策も講じないということがある。これでは、サイバー攻撃がシャットアウトできなかった時の被害が甚大になってしまう。

 効果的なセキュリティ対策を講じたいなら、「すべての攻撃をシャットアウトすることはできない」という前提に立って考えてほしい。ダメージ0は無理だとしても、ダメージ5やダメージ10といった経営に支障がないレベルにまでリスクを下げた提案をする。このような“折衷案”なら経営層に伝わりやすい。

 その際、次に紹介する4つのフェーズによるセキュリティ対策が参考になるだろう(図1)。攻撃者側から見ると、この4つのフェーズによる対策が施されたシステムは「攻撃が成功しづらく、仮に成功してもすぐに検知されてしまう。リターンも少ない。さらに、せっかくファイルを盗んでも暗号化されていて読めない」となるからだ。

図1●攻撃者が嫌がる4段階のセキュリティ対策
攻撃が成功しづらく、仮に成功してもすぐに検知され、そこをくぐり抜けてもファイルが暗号化されていて読めないとなる。
[画像のクリックで拡大表示]
4つのフェーズによるセキュリティ対策▲
NIST SP 800-61 を参考に筆者がアレンジした。

 「すべてのサイバー攻撃を完全にシャットアウトする」ことにとらわれると、最初の1フェーズ(準備フェーズ)のみ考えて、それでおしまいとなる。そうではなく、4つのフェーズで考えれば、段階的なリスク低減策にたどり着ける。特に、最後の2つのフェーズ「被害を軽減」「ファイルを暗号化」は重要だ。この2つのフェーズの対策状況によって、サイバー攻撃を受けた場合の被害状況が大きく変わってくる。これまで防御のことばかり考えていたなら、ぜひアプローチを変えてほしい。

 なお、前回の連載では「多層防御をBATNAの観点で解説する」ことの重要性について解説した。この4フェーズの考え方もアプローチとしてはよく似ており、BATNAの観点で解説することで、経営層に対する説得力を増すことができるだろう。

多層防御をBATNAの観点で解説する▲
BATNA はBest Alternative to a Negotiated Agreementの略。意訳すると「交渉が決裂した時の最も良い対処策の案」となる。一つの案だけでなく、代替案も用意して、交渉に臨むこと。

ここから先はITpro会員(無料)の登録が必要です。

次ページ クライアントを守るだけでは不十分
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【夏休みスペシャル 2017】

    屋内トレで夏を乗り切る、無料ヨガアプリの実力

     いよいよ夏休み。ひと息ついて、秋から年末にかけての忙しい時期に備えて、エネルギーチャージをしておきたいところだ。それに向けて大事になってくるのが、体のメンテナンスである。そこで今回は、ストレッチやヨガを自宅で実施するための無料iPhoneアプリから、3つを厳選して紹介したい。

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る