セキュリティリスクは脅威と脆弱性を要因としています。脅威と脆弱性は一つだけでなくさまざまな行為によって起こり、企業が持つ顧客の情報が流出し危険に晒されてしまう可能性があるものです。ここでは、脅威と脆弱性とはどんなものかを具体的な解説し、セキュリティリスクについての対策と4つの対処法を紹介します。
セキュリティリスクとは
セキュリティリスクとは、企業が守るべき情報に対し、安全を損なう可能性があるリスクを指します。
セキュリティリスクの要因として、脅威と脆弱性があります。サイバー攻撃などの外部にある脅威や人為的ミスなどの内部にある脅威が、システムの脆弱性を攻撃することで情報資産が損害を受ける事態につながります。
セキュリティリスクを完全に無くすことは極めて困難ですが、企業はリスクの想定や発生の予防、発生した際の検討を行うなどセキュリティリスクに対して正しい対処を行い、被害を最小限に抑える努力が求められます。
脅威とは?
脅威とは企業や組織の情報資産に損害を及ぼす可能性のあるものです。情報セキュリティにおいての脅威は、大きく意図的脅威、偶発的脅威、環境的脅威に分けられます。それぞれの脅威の特徴を説明します。
また、以下の記事では近年の脅威についての最新情報やトレンドを解説しています。
参考記事:最新のセキュリティ動向(脅威動向)・トレンドは?脅威毎に紹介
参考記事:インシデント対応とは?インシデント発生時の対応計画から対策の策定までを解説
意図的脅威
意図的脅威とは意図的の言葉が指すとおり、外部や内部から悪意の持った第三者が故意に行う攻撃を指します。
外部からの攻撃例として具体的な行為は以下の通りです。
- フィッシングサイト
- Webサイト改ざん
- マルウェア
- DoS攻撃/DDoS攻撃
- 標的型攻撃など
フィッシングサイトとは、パスワードの変更のお願いなどの件名でメールを送り、記載してあるURLをクリックさせた上で重要な個人情報を盗むサイトのことです。メールに記載されているURLのリンク先は公式サイトに似せて作られており、ユーザーは公式サイトと誤認してIDやパスワードを入力し、ログイン情報やアカウント情報を第三者に盗まれてしまいます。
また、管理者の知らないうちにコンテンツにスクリプトが書き換えられてしまうWeb改ざん、それによりマルウェアをダウンロードさせる手口やWebサイトに過剰な情報を大量に送りつけるDoS攻撃、DDoS攻撃もあります。
特定の企業や個人に向けてサイバー攻撃を行う標的型攻撃など、外部による意図的脅威はさまざまです。
また内部からの犯行としては以下の行為があります。
- 機密データの盗難
- 情報の不正利用
- 盗聴
- データの改ざんなど
これらの意図的脅威を防ぐためには外部攻撃に対する防止策を練るほか、内部からの人為的な攻撃にも注意しなければなりません。
意図的脅威はセキュリティリスクの中でも代表的な脅威であり、発生頻度は低くても甚大な被害につながる可能性があるため、常に警戒する必要があります。
万が一情報への侵入や盗用が確認された際、直ちに情報やサービスの遮断、分析と対応が必要です。
偶発的脅威
偶発的脅威とは人が意図せずに引き起こす脅威で、以下の例が挙げられます。
- 操作ミスや設定ミス
- 標的型攻撃メール受信などのウイルス感染
- USBメモリーの紛失
- 会話からの情報漏えいなど
故意ではないものの、従業員の危機管理意識の低下が引き起こすミスのほか、装置や設備の故障も偶発的脅威のひとつとなり、情報システム障害や業務運用に支障をきたすケースもあります。
偶発的脅威の対策は、操作する人の意識と操作技術の向上、定期的な点検の実施などがあります。
また、企業内でサイバー攻撃や情報漏えい等によって企業が負う損害やリスクなどを共有し、日常的なデータの取り扱い方法などへの理解を深める研修など、セキュリティ面での教育活動も継続的に行うことをおすすめします。
また、セキュリティシステムは可能な限り最新のものを導入することを意識し、必要に応じて不注意にアプリケーションのダウンロードをしない、疑わしいWebサイトなどへアクセスしないよう制限をかける等、管理機能のあるソフトウェアの導入も検討しましょう。
環境的脅威
環境的脅威とは、自然災害により情報システムが操作できない状態に陥ってしまう脅威です。
- 地震
- 火災
- 台風
- 洪水
- 高温多湿など
環境的脅威は、自然災害によって引き起こされる事象が多いため、どれだけ対策を強化しても被害をゼロにすることはできません。他の脅威に比べると発生する可能性は低いものの、災害によってサーバーの停止や建物自体の使用ができない事態に陥れば、社内システムが全体的に利用できなくなる可能性もあります。特に信頼性や安全性が求められる設備やシステムに影響があれば、企業として社会的な信頼を失ってしまうケースもあるでしょう。
環境的脅威による被害が発生した際の対策としては、前述の災害が起こった時の対策を事前に立てておく必要があります。
また環境的脅威は、脅威が起こった原因によって偶発的・意図的脅威にも該当する場合があります。例えば、火災などは自然発生した場合は環境的脅威といえますが、人間の不注意や機器の故障によって引き起こされたものであれば偶発的脅威となり、放火である場合には意図的脅威となります。
また火災が原因で復旧までの空白時間が長い場合、人為的脅威に発展する可能性もあるのです。
そのため、どれかひとつの脅威に注力して対策を行うのではなく、さまざまな要因が重なることを想定し、対策をしっかりと行っていきましょう。
脆弱性とは?
脆弱性とは脅威によって突かれる安全上の欠陥を指し、セキュリティホールと同意義で使われることもあります。
脆弱性が脅威によってつけ込まれ、守られているデータや情報がサイバー攻撃や内部不正に悪用されれば、情報漏えいなどのリスクに繋がります。さらに、情報漏えいの拡大防止や復旧作業により通信やサービスを停止させてしまうことで、顧客からの信用を失う事態にもなり得ます。現代においては、あらゆる企業や組織が何らかの形でインターネットを通じたサービス提供や業務運用を行っているため、脆弱性への対処は最重要課題と言えるでしょう。
脆弱性には大きく3つに分類されます。
- ソフトウェア自体の脆弱性
- 管理文書・体制の不備
- 災害やトラブルに弱い立地
それぞれの脆弱性について順番に見ていきましょう。
ソフトウェアの脆弱性
ソフトウェアの脆弱性にはシステム設計時の予測不足やプログラムの設計ミスによる潜在的不具合、時間経過によって発生した不具合が挙げられます。
脆弱性のあるソフトウェアはサイバー攻撃のターゲットとなり、悪用プログラムを添付したメールなどが仕掛けられる可能性があります。
メールの開封やWebサイトの閲覧などでマルウェアに感染し、内部ネットワークへと侵入されデータを盗まれたり改ざんされるケースもあります。
管理文書・体制の不備
脆弱性というと、ソフトウェアなど情報システムによる問題だと捉えられることが多くありますが、管理文書や管理体制の不備も脆弱性の一つです。
具体的には、サーバーが設置された部屋のドアや窓の施錠がされていない場合や、バックアップを保管する媒体の管理が適切でない場合などが挙げられます。
ソフトウェア自体の脆弱性がない場合でも、油断や知識不足が要因として管理文書や体制不備が引き起こされ、結果としてセキュリティ事故に発展してしまいます。これを防ぐためには、社員一人ひとりがしっかりと情報セキリティを管理する意識を持つことが大切です。社内におけるセキュリティ意識の向上を目的とした啓蒙活動や研修を定期的に実施することをおすすめします。
災害やトラブルに弱い立地
災害やトラブルに弱い立地も脆弱性の具体例として挙げられます。
そもそも情報を守るPCのある組織や企業が雷や洪水などの環境的脅威に見舞われやすい位置にある場合は、サーバーの故障や停止などでシステムが稼働できない可能性が高くなります。また、海外においては企業の所在地が治安の悪いエリアにある場合などもトラブルに弱い立地に該当する可能性があります。不審者が容易に侵入しやすい環境や、デモや暴動に巻き込まれる可能性のある地域にオフィスを設置することは避けたほうが無難でしょう。
セキュリティリスクへの対処方法と考え方
セキュリティ対策はリスクを正しく分析して重要度を把握し、洗い出したそれぞれのリスクに対して、以下に紹介するような対処を行うことが重要です。
リスクは悪意のある第三者によるものや意図的でないもの、天災などによる脅威と脆弱性が重なって起きるものであるため、企業や組織の中には自分たちは被害者だという意識を持つ場合も多く、リスクに対して十分な対処を行わない場合があります。
しかし顧客やユーザーからすれば、情報を漏らしたのはその企業や組織です。ブランドイメージを低下するだけでなく、自分たちの情報が流出し悪用されてしまえば責任を取ってもらいたいと考える人も現れるかもしれません。
特に、放置やずさんな管理によって発生した脆弱性は企業として社会的な信用を失う可能性があり、常に顧客のデータや情報を預かっている実感を持って徹底した対策を継続的に行わなければなりません。
リスクを正しく分析し、重要度を把握する
リスクへの対処法を行う際に必要なのは、正しい分析と重要度の把握です。
まず起こりうる可能性のあるリスクについて、発生頻度が低い・高い、発生した際の影響度が軽い・重いという軸で分析します。
この時分析したリスクにより企業が取るべき対策としては以下の4つです。
- リスクを低減させる
- リスクを受容する
- リスクを回避する
- リスクを移転させる
順番に見ていきましょう。
1.リスクを低減させる
リスクの低減とは適切な管理策により脅威の発生頻度を減らす方法で、分析した際に発生頻度が高く影響度も重いリスクに対して取られる対策です。
2.リスクを受容する
リスクの受容はあえてリスクを受け入れ、リスクに対する対処を行わないという方法です。発生頻度が低く、影響度も低いリスクに対してはこの対処が行われます。
発生するリスク一つひとつに対応していれば日々の業務に割ける時間がなくなってしまう恐れがあるため、それほど影響のないリスクに対してはあえて何もしないことも生産性の面では重要と言えます。
3.リスクを回避する
リスク回避とはリスクのある状況や方法をはじめから選択しないことで、リスクが起こらないようにする方法です。発生頻度が高く影響度も高いリスクや、リスクを低減させたとしても手に入るメリットが少ない場合にも用いられます。
4.リスクを移転させる
リスクの移転とは、リスクによって起こりうる損失を減らすために、現時点での担当者や部署が抱えている業務などを別の組織に移転して負担を軽減させ、責任の分担や責任範囲外にする方法です。この手法は発生頻度が低いものの、影響度が高いリスクに用いられます。
具体的には、サイバー攻撃に対する検知や分析、対策を行うSOCを他の組織に委託したり、損失と同等の保険金をかけたりします。
リスクを移転させることで発生した際の責任は軽減されますが、リスクが発生すること自体の影響度が高いため社会的な信用の低下は免れない可能性があります。
(まとめ)影響や頻度(起こる可能性)からリスクを考え備える
セキュリティリスクは脅威と脆弱性の要素からなり、ひと言に脅威といっても意図的、偶発的、環境的とさまざまな要因があります。
脆弱性においてもソフトウェアに対してだけではなく、管理体制の不備やトラブルに弱い立地なども含まれ、これらの要素が複雑に絡まり合うことで発生したリスクは、企業や組織にさまざまな影響をもたらします。
セキュリティリスクは起こるものという認識を持ち、リスクを分析した上で低減、受容、回避、移転の4つの対策を検討していきましょう。
[PR]提供:セキュアワークス