セキュリティ対策、社内の協力を仰ぐには？：システム部門Q＆A（11）（2/4 ページ）

[木暮 仁，＠IT]

情報セキュリティ対策への投資をどう考えるか

　情報セキュリティ対策が必要なことを説得できても、現実にはおカネの問題になります。

1.対策はどのレベルまでするのか？

　「当社のような中小企業では、情報セキュリティなどに割けるおカネもヒトもない」

　情報セキュリティ対策が重要だとはいえ、万全な対策を取ろうとすれば莫大な費用が掛かります。情報セキュリティ対策の費用で会社が倒産したとか、ハッカーが怖いのでインターネットを利用しないというのでは本末転倒です。

　リスクには、ウイルス感染のように発生確率が大きいものと、大震災のようにあまり発生しないものもあります。また、人命や財産に影響を与えるような被害が大きいものもあれば、パソコンやインターネットを私用するような比較的小さいものもあります。そこで、リスクの大きさは次のように考えます。

リスクの大きさ＝発生確率×被害の大きさ

　発生確率の小さいリスクに大騒ぎするのは杞憂になりますし、被害の小さいリスクにまで対処したのでは、その被害よりも対策の費用の方が大きくなってしまいます。リスクが小さいものに関しては、特別な対策をせずに、それが起こったときは経営者の責任で解決するというのが現実的でしょう。そのようなリスクを「受容リスク」といいます。すなわち、情報セキュリティ対策とは、多様な脅威を受容リスクの範囲に低減することだといえます。

図1　受容リスクと最適対策

　すると、受容リスクをどの程度のレベルに設定するのかが問題になります。情報セキュリティ対策をしなければ、対策の費用は掛かりませんが、脅威がそのまま被害になるので被害費用が大きくなります。万全の対策をすれば、被害費用は小さくなるが対策費用が大きくなります。経済性の観点では、

全体の費用＝被害費用＋対策費用

　の最小になる点を受容リスクとすればよいことになります。

　しかし現実には、これらの費用を把握することは困難です。それで、一般的に世の中で行われている程度の対策を最小限とし、それに自社の社会的期待度や取り扱っている情報の内容により、プラスアルファの対策を講じるとするのが適当でしょう。

2.通常の対策が重要なのだ

　「ハッカーは高度な技術力を持っているだろうから、中途半端な対策をしたところで効果がなかろう」

　これは「最近の空き巣泥棒は高度な技術を持っているから、カギなど掛けても意味がない」というのと同じで誤りです。

　あなたのサイトだけを攻撃することに、技術力のあるハッカーが大集合して、時間や費用を考えずに研究すれば、必ず侵入できるでしょう。完全な情報セキュリティ対策は存在しません。

　しかし実際には、通常の対策で十分なことが多いのです。現実に、ウイルス付きの電子メールは頻繁に襲ってきますが、そのほとんどが市販のアンチウイルスソフトにより防げています。空き巣も防犯対策をしている家に苦労して侵入するよりも、カギの掛かっていない家を探して入ります。不正アクセスをする連中も、最初は手当たり次第に当たってみて、対策がしてあるようならば、そこに時間をかけずに、ほかのサイトへ移ってしまいます。

　また、不幸にしてDoS攻撃の踏み台にされて第三者に被害を与えたような場合に、もし最小限の対策すら怠っていたとすれば訴訟されるかもしれません。しかし、常識的なしかるべき対策を講じていたならば、裁判になっても大きな責任を取らされることはないでしょう。

情報セキュリティ対策と情報システムの脆弱性

■1.情報システムの脆弱性とは

　情報システムに対する脅威には、インターネットでのウイルスや不正アクセス以外に自然災害、機器の誤動作、人的ミス、犯罪など多様です。このような脅威そのものをなくすことができればよいのですが、それは困難です。それで、脅威があっても被害にならないようにすることが求められます。

　情報システムはもろいものです。ウイルスにも簡単に感染してしまいますし、地震があれば機器が転倒して使えなくなります。このようなもろさを脆弱性といいます。アンチウイルスソフトを導入したり、転倒防止装置を付けたりすることは、脆弱性を低減するために必要な措置です。すなわち、情報セキュリティ対策とは、情報システムの脆弱性を低減して、リスクの大きさを受容リスクの範囲内にすることだといえます。

図2　脅威とリスクの関係

2.情報システムの脆弱性への認識が甘い

　現金や小切手を机の上に放置したまま帰宅する人はいません。カギを掛けずに外出する人も少ないでしょう。ところが、重要な情報をコンピュータに置いているのに、インターネットからそのコンピュータへアクセスできる状態になっていても平気でいます。このように、情報システムの脆弱性は日常的な感覚とかなり異なるので、気付かないことが多いのです。そこに留意することが情報セキュリティ対策の基本になります。

3.「おけの理論」を認識しよう

　脆弱性は、それが最も弱いところで決定されます。玄関には立派なカギを掛けていても、勝手口や窓が開いていたのでは、全体にカギが掛かってないのと同じレベルの対策になってしまいます。

　インターネットから不正アクセスをされないように、インターネットと社内ネットワークとの間にファイアウォールという関所を設けるのは常識的な対策ですし、情報システム部門はそれの不備がないように努力しているでしょう。

　ところが、パスワードの管理がずさんで、ハッカーが社員になりすましてファイアウォールを突破してくるかもしれません。利用者が勝手に社内ネットワークにつながっているパソコンからインターネットと接続しているかもしれません。ウイルスに汚染された私用パソコンを社内ネットワークに接続するかもしれません。これらのすべてがコントロールされていなければ、ファイアウォールの管理を厳重にしても効果がないのです。