開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/08/28

セキュリティ投資の「バランス」を取るのに役立つ、3つのベンチーマーク

連載:サイバーセキュリティ最前線

世界的に有名な保険シンジゲート、英ロイズ社がビジネス全般に関するリスクを調査した「Risk Index 2013」をこのほど公開したのですが、なんと3位に「サイバーリスク」がランクインしました。数あるビジネスリスク要因を押しのけて、ITに関するリスクが上位にランクインしたことには目を見張るものがありますが、その対応としてのセキュリティ投資の方向性については問題があるようです。本稿では、今や経営の大きな課題となっているサイバーセキュリティについて、いかに適正な投資バランスを取っていくべきか、という点について考察したいと思います。

NRIセキュアテクノロジーズ 高梨 素良

NRIセキュアテクノロジーズ 高梨 素良

早稲田大学大学院国際通信研究科卒業後、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、システムのセキュリティをチェックする「セキュリティ診断」サービスや、最新サイバーセキュリティ情報の調査・研究・情報提供を通じて数多くのプロジェクトに参画。

「サイバーリスク」がビジネスリスクの第3位に

 ロイズと言えば保険シンジケートとして世界的に有名な組織ですが、同社はRisk Index というレポートにおいて、グローバル企業の経営層に向けて、ビジネスリスク要因をランク付けして提示しています。

 このほど最新版の2013年版が発表され、なんと3位に「サイバーリスク」がランクインしました。「サイバーリスクは経営課題である」という事実は一昔前ではやや教条的な含みがありましたが、このように明示されると今や非常に現実的課題であるということを改めて思い知らされます。ちなみに上位5つは以下のようになっています。

  1. High taxation(高税率)
  2. Loss of Customers/cancelled orders(顧客の喪失/注文のキャンセル)
  3. Cyber risk(サイバーリスク)
  4. Price of material inputs (原材料価格)
  5. Excessively strict regulation (過度に厳格な規制)

画像
ロイズのRisk Indexにおけるランクの推移 (2011→2013)
(出典:ロイズ


 なお、2011年版同レポートで「サイバーリスク」は12位であり、今回大きくランクアップされた形となっています。ロイズ社はその理由として、調査会社Ponemon社の 「ベンチマーク対象組織のサイバー侵害への対応コストが平均890万米ドル」、「最大被害額は4,600万米ドル」 という驚くべき調査結果を引き合いに出しています。

 なお、こうした被害をもたらす主因、即ちサイバー犯罪の手法として、悪意のあるコード(malicious code)、サービス不能攻撃(denial of service:DoS攻撃)、Webベースの攻撃(web-based attacks) が、そしてその攻撃主体としては、政治的または思想的な動機を持つ攻撃者(hacktivist:ハクティビスト)の台頭を挙げています。

セキュリティ対策投資、大事なのは「額」ではなく「バランス」

連載一覧
 さて、そのように脅威が活発になっているとあらば、それらの被害に備えようというのは自然な発想かと思います。しかしそこで同レポートでは、「多くの会社でサイバーセキュリティ対策費用を積み増しているものの、その投資の方向性は正しいのだろうか?」という疑問を投げかけています。

 いわく、サイバー保険の専門家は、情報漏えい対策費・フォレンジック費・事故時対外策(広報)費を含むパッケージ化された保険の導入に向いている。それは確かに緊急時にとても有効ではあるが、本質的には被害自体を未然に防ぐようにセキュリティ対策に投資すべきではないか。そのような対策を企業全体に浸透させるのは長い道のりになるかもしれない──というような論説です。

 SANS InstituteのPescatore氏もこれに同意の旨のコメントを寄せており、さらに踏み込んだ論を展開しています。

 即ち、同レポートでは、米保険情報研究所(Insurance Information Institute)の報告書も引用し、「サイバー事件・事故の3分の2は、組織内の管理体制に起因する」 という事実をもって、未然対策の有効性を訴えていますが、氏はさらに実態としてそのうち80~90%の事柄は簡単、一般的なセキュリティコントロールで防げたであろう、と述べています。

 筆者もこの点に関して、大きくうなづくところがあります。監査の経験上、「守るべき情報資産に対して重点的に対策を行う」という原則にこだわりすぎる余り、そこから外れた領域に予算を割けずに初歩的な対策すら打たれていない、というケースがよく見受けられるためです。同様に、都度発生する問題に場当たり的対策を重ねていくうちに、対策の投資バランスが偏ってしまうというケースもあります。

photo
リスクアセスメント概念図
出典:IPA


 これを正すため、Pescatore氏の所見どおり、簡単でも構わないのでコントロールが一通り行き届いているか、という観点で一度セキュリティ対策投資の「バランス」を見直すことが、セキュリティ対策投資の実効性を高めるうえで非常に有効と考えられます。ただ、そのためにはどのようなセキュリティ対策の観点があるかをあまねく把握する必要があります。

 ここで有効なのが「ベースラインアプローチ」です。

【次ページ】ベースラインアプローチに有用な3つのベンチマーク

IT投資・インフラ戦略 ジャンルのセミナー

IT投資・インフラ戦略 ジャンルのトピックス

IT投資・インフラ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!