“もぐらたたき”ではセキュリティに先はない 組織に合ったリスクマネジメントを構築するには：ITmedia Security Week 2024冬 イベントレポート（2/2 ページ）

[吉田育代，ITmedia]

リスクを受け入れるのも対処の一つ　情報セキュリティマネジメントの重要性

　藤本氏によると、こうしたリスクの優先順位付けに役立つ手法が情報セキュリティマネジメントだ。リスクマネジメントプロセスに従ってセキュリティ管理を遂行する。

情報セキュリティマネジメントの概要（出典：藤本氏の講演資料）

　「これは情報資産および脅威や脆弱性を考慮し、リスクを定量的・定性的に評価し、優先順位付けをして適切に対応することです。リスクの処理の仕方も、セキュリティ対策を講じる『リスクの軽減』、リスクを受け入れる『リスクの保有』『リスクの回避』『リスクの第三者との共有』など複数の選択肢があります」（藤本氏）

　これに加えてプロセス全体を通じて利害関係者に情報を提供し続ける、これら一連のプロセスを継続的に監視およびレビューし、適切に対応するところまで実施するのが重要だ。

　この考え方が基本になければ、世間で取り上げられる脅威に対して、もぐらたたきのように対応し続けなければならない。あるいは、自社にとって重大な脅威は他にあるにもかかわらず、それとは異なる脅威にばかり手を打つといったことにもなりかねない。

　デジタルトランスフォーメーション（DX）を推進する企業が増加し、DXと並行してセキュリティを考える“DX with Cybersecurity”時代になったことが、今日の状況を複雑にしている。

　藤本氏によると、情報セキュリティ大学院大学で演習に参加した学生からも「DXに取り組むと収益性などに意識が向き、セキュリティのことを同時に考えるのが難しい」「ICTに詳しい人がメンバーにいると、（セキュリティのことは）気付くと“お任せ”になっていた」との声が挙がったという。

レジリエンスとBCPにも目を向けて体制整備を

　最近はリスクマネジメントの一環として“サイバーレジリエンス”というキーワードにも注目が集まっている。レジリエンスとは回復力や適応力、被害の最小化、回復の迅速化を意味する用語で、これをサイバーの世界に当てはめたものがサイバーレジリエンスだ。

　一般に「サイバーレジリエンス」というと、米国立標準技術研究所（NIST）のドキュメント「SP800-160 Vol.2：Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」（NIST SP800-160）で定義されている「サイバーリソースを含むシステムに対する悪条件・ストレス・攻撃または侵害を予測し、それに耐え、そこから回復・適応する能力」を指す。

　2024年10月18日（現地時間）には欧州連合（EU）がデジタル製品に関する包括的なサイバーセキュリティ要件を規定する「EUサイバーレジリエンス法」を施行する予定だ。この法律はデジタル要素を備えた全ての製品が対象で、製造者にはSBOM（ソフトウェア部品表）の作成や、更新プログラム提供などセキュリティ要件の適合（自己適合宣言／第三者認証）が求められる。対象となる企業は、情報収集を始めつつ適切に対応する準備をしておく必要があるだろう。

　この他、最近はサイバー攻撃による被害を“災害”と考え、これに沿った事業継続計画（BCP）を策定する動きもある。

　「『特定された重要業務が中断しないこと』や『万が一事業活動が中断した場合に目標復旧時間内に重要な機能を再開させ、業務中断に伴う顧客取引の競合他社への流出やマーケットシェアの低下、企業価値の低下などから企業を守ること』はサイバーセキュリティとも共通の概念です。BCPの策定は企業のレジリエンスを高めることにつながり、その意味ではリスクマネジメントとBCP、どちらにも取り組む必要があるでしょう」（藤本氏）

　藤本氏は最後に「組織においては情報セキュリティマネジメントで現状を分析してリスクを評価し、取り組みの戦略を立てるという体制整備が肝心。これが全ての基本になると思います」と語り講演を締めくくった。