第17話 経営者のためのセキュリティ体制づくりにIPA「サイバーセキュリティ体制構築・人材確保の手引き」

日本の経営者はセキュリティ意識が低い？

経済産業省は4月26日、「サイバーセキュリティ体制構築・人材確保の手引き」[*01]を公開した。
この資料の冒頭にある「日本と米国とシンガポールそれぞれの情報セキュリティ対策実施のきっかけや理由」アンケートが興味深い。

米国やシンガポールは「経営者のトップダウン指示」がいずれもトップで、それぞれ55.4%（米国）、66.1%（シンガポール）だ。
しかし日本では「自社でのセキュリティインシデント33.6%」「他社でのセキュリティインシデント27.1%」などが主な理由であり「経営者のトップダウン指示」は上位にはない。

日本の経営者の判断は合理的。ただし・・・

過去のセキュリティインシデントを元に、セキュリティ対策を実施するという多くの日本の経営者の判断は実は間違いではない。それどころか費用対効果がある賢い判断であるとも言える。

ただしそれには条件がある。それは以下の３条件が満たせるという場合だ。

１，偏らず
２，１００％でなくとも
３，数値化判断する。

１，対策すべきセキュリティは偏らないこと

まず重要なのが「偏りなく満遍なく集められたデータ」をベースに対策を検討するということだ。
たまたま自分の身近で起きたことや話題になったことだけを取り上げて対策するのでは「行きあたりばったり」の対策になってしまう。

このような観点で、自分がたまたま知っている事例だけでなく、満遍なく粒度をそろえて、過去のセキュリティ事故のデータを収集し、判断する必要がある。

２，「どこまで対策すれば良いのか」ゴールを決める

次に「導入するセキュリティ対策」はどこまの防御率が必要かどうかという判断だ。
セキュリティベンダーの提言のとおり１００％近く防御できないと意味がない場合もあれば、実は５０％防げるだけでも効果がある場合もあるのだ。

たとえば
・漏洩しても企業へのダメージが少ない情報は、漏洩防御率が１００％じゃなくても実質問題は起きない。
・発生する確率が非常に低い漏洩ケースは、漏洩防御率が１００％じゃなくても実質問題は起きない。

このため、セキュリティ対策は「守るべき情報のレベル」「事故が発生する確率」によってどこまでの防御が必要かを判断する必要がある。

最初に「対策のゴール」が明確でないと、本当はそこまで対策しなくても良い箇所に費用をかけたり、本当はそここそ対策しなければならないのに放置されたりということが発生する。

３，リスクと効果を数値化して判断する

上記の２点を実現する上で必要となるのが、リスクと対策効果を数値化するということだ。
これにより「何を対策するのか」「どこまで対策するのか」を経営者が明確に判断することが出来る。

この数値化を行うのに適した方法が「ゼロトラストFTA」だ。
ゼロトラストFTAは過去の統計データとFTAと呼ばれる信頼性工学の解析手法から、セキュリティ事故の発生頻度や、対策の防御率を数値化する。

ゼロトラストFTAに見える化される「脆弱性チャート」により、経営者は
・自社のセキュリティ対策のどこが一番弱いのか
・どこまで対策をするべきなのか
を、客観的に数字で検証検討することが出来る。

経営者が自社のセキュリティ対策を検討する場合、必要なのは「リスクの数値化」「効果の数値化」である。
その判断のためにゼロトラストFTAという解析手法を是非導入して欲しい。

まとめ
・過去のセキュリティインシデントから対策を実施するのは合理的。
・ただし対策対象は偏りがなく客観的なデータを元にすることが必要。
・ただしどこまで対策すべきなのかというゴールが必要。
・そのために発生リスクや対策効果を数値化することが有効。
・ゼロトラストFTAはリスクや効果を数値化し検討する手法である。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。

参考文献
*01 独立行政法人 情報処理推進機構（ＩＰＡ）刊「サイバーセキュリティ体制構築・人材確保の手引き 」
https://www.meti.go.jp/press/2020/09/20200930004/20200930004-1.pdf