2023/04/27
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
何かを比べるときに、度量衡という言葉を使いませんか? 私は、そもそも、度・量・衡が、長さと体積と重さのことだということを、最近まで知りませんでした。さらに、単位の話も無知と言うしかなく、世界に共通な単位の系(国際単位系:SI)は、1875年にパリで交わされた「メートル条約」によって、時間(秒)、長さ(メートル)、質量(キログラム)、電流(アンペア)、熱力学温度(ケルビン)、物質量(モル)、光度(カンデラ)の7つとなったことも、実に150年ほども後になってから知ることになりました。なお、これらの7つの系の内容とその相互関係は、例えば国立研究開発法人産業技術総合研究所の計量標準総合センターの資料「はかる単位」で俯瞰できますが、見つめているとその繋がりの複雑さに不思議な感覚を覚えます。
さらに驚いたのは、メートル原器が長さの基準だと子供のころ教わったはずなのですが、1960年に既に使われなくなっており、日本のメートル原器も重要文化財となり、筑波の同センターに保存されているそうです(今では、メートルは、光や時間から割り出されるようです)。
さて、話はサイバーセキュリティに移ります。
この7つの系の中に、サイバーセキュリティに関連した単位が無いのは、ある意味自明なことではあります。さまざまな組織の事業におけるデジタルや通信の仕組みでの障害がサイバーリスクという事象であり、そのパターンやインパクトは組織によって異なるからです。しかし、困るではありませんか。自社にとっては、こんなに深刻な事態なのに、他社にとっては何でもない掠り傷にすぎない、ということでは、比較ができません。サイバーセキュリティはどんな計測の仕方をするのが国際標準なのでしょうか。単純に単位で測れないのは分かりますが、測り方(量り方、計り方)までバラバラでは、ステークホルダーとの対話にも支障を来しそうです。
こういう時に便利なのが国際的なNPOのISFです。Steve Durbinさん、ご説明お願いします。
(ここから引用)
Published: February 14, 2023
SOURCE:CSO ONLINE
Steve Durbin, Chief Executive, Information Security Forum
サイバーリスク対策が成熟するためには、サイバーセキュリティの脅威とパフォーマンスを測定、分析、報告する能力が肝となります。とはいえ、サイバーセキュリティを測定するというのは簡単なことではありません。一方では、経営者は情報リスクを理解するのに骨を折り(彼らは一般に、サイバーリスクとは無縁の経歴を持つため)、他方では、セキュリティ責任者は技術的な細部にこだわり過ぎて、かえって関係者を混乱させたり、誤った情報を与えたり、誤解させたりしてしまうからです。
理想的にいえば、セキュリティ専門家は、経営幹部が理解でき、役に立つと感じ、好奇心も満たされ、行動に移せて成果も出せるような形でサイバーセキュリティを測定し、報告する必要があります。
ステークホルダーの多くは、リスク、コンプライアンスあるいはアシュアランスにまつわる質問をしてくるのが常です。残念ながら、このような質問には、単一のデータ点では答えられないのが普通です。幸いにして、ステークホルダーの疑問や懸念に応えるために、セキュリティ実務者が測定できるものは多岐にわたります。その項目は、次のように大別することができます。
・コントロール: 脅威に対処し、情報リスクを軽減するために講じられる対策
・資産: 価値を持つもの、またはその組織によって所有されているすべてのモノ
・脆弱性: 脅威(アクター)によって悪用される可能性のあるシステムの弱点
・脅威イベント: 資産に損害を与える可能性のある、脅威(アクター)による何らかの行動
・セキュリティインシデント: 通信障害、システム中断、システム停止、データ漏洩、フィッシング詐欺、ランサムウェア攻撃など、事業に悪影響を及ぼす事象
上記の分類は、数値、時間、またはコストの観点からさらに細かく分類することが可能です。例えば、数値で言えば、パッチ未適用のサーバーの合計数や割合、必要なベースラインや処理能力との比較におけるパッチ未適用のサーバーの割合、またはパッチ適用可能なサーバーの数などを測定することができます。時間で言えば、インシデントを特定するのにかかった時間や、特定の脅威の出現頻度を時系列で測定することができます。コストについては、インシデントの影響を金銭的に引き直せるように測定したり、復旧にかかるコスト、あるいはシステムダウンによる事業損失を割り出すように測定したりすることができます。
セキュリティ実務者は、経営陣に報告する際に、最も適切な測定方法を選択する必要があります。セキュリティチームの多くは、資産、脆弱性、脅威イベントに関する機械語で測定された値である測定基準に焦点を当ててしまいがちです。一方、経営陣は、主要業績評価指標(KPI)や主要リスク評価指標(KRI)を重視します。それは、こうした指標によって、セキュリティのリスクや、健全性や、リスク対応態勢や、優先事項に関する、次のような具体的な質問に答えるのに役立つからです。
・貴社のセキュリティは大丈夫なのか?
・セキュリティへの投資によって、事業上の価値がもたらされているのか?
・セキュリティに関連する規制上のさまざまな義務は果たしているのか?
・ランサムウェア攻撃やサプライチェーン攻撃への備えは十分なのか?
このような質問には、KPIやKRIによって答えることができます。だからこそ、セキュリティのパフォーマンス、態勢、有効性を評価するために、セキュリティ実務者はKPIやKRIに焦点を当てなければならないのです。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方