記事をシェアする:

サイバーセキュリティー対策を考える上でリスクマネジメントは不可欠ですが、リスクマネジメント手法の多くは、リスクの大きさを相対的な数値として算出するため、対策に要する費用の妥当性を計ることは困難です。費用の投資対効果を計るためには、リスクの発生頻度や損失額を算出し、金銭的価値としてリスクを定量化することが有効です。

IBM Securityでは、リスクを定量化するための幅広い知見と有効なフレームワークを用い、「IBMサイバーセキュリティー・リスク定量化支援サービス」を提供します。

サイバーセキュリティー・リスクの定量化が求められる背景

デジタルトランスフォーメーション(DX)を支えるテクノロジーの進化やビジネス変革に伴い、サイバーセキュリティーの脅威は益々増加し、被害はさらに深刻化している傾向にあります。特に2021年現在において、これまでにも注意喚起されていたランサムウェアや標的型攻撃に加え、テレワークに代表される新しい働き方を狙った新たな攻撃手法や事故が増加しており、企業や組織にとってサイバーセキュリティー・リスクをどのように管理していけば良いかが極めて重要な経営課題となっています。

特に、昨今発生しているセキュリティー事故は、企業・組織にとって直接的な金銭的損害を伴うものが増えてきているため、サイバーセキュリティー・リスクは、技術的な問題ではなくビジネス上の問題として捉え、CISOのみならずCEO、CFO、CIO等、取締役会や全ての経営幹部が真のリスクを理解し、サイバーセキュリティー戦略に関してビジネス上の意思決定を行うことが求められます。

サイバーセキュリティー・リスクを定量的に捉えることの意義

これまでのサイバーセキュリティー・リスクの管理方法は、NIST-CSFやISO/IEC 27001、COSO内部統制などのフレームワークを用いたセルフアセスメントや成熟度評価など、リスクを定性的に捉える手法が一般的ですが、これらの方法論は、あるべき姿とのギャップ分析や、他の組織とのベンチマーク、プロセスそのものの品質評価や目標設定への活用には役立つものの、サイバーセキュリティー侵害が生じた場合に備えた引当金の要否や必要金額の算出等、投資対効果の観点での損失額の算出や、より効果的なセキュリティー・リスク低減策の検討や選定には、必ずしも役に立つとは言えません。

サイバーセキュリティー・リスクを金銭的価値として定量化することで、共通言語を得ることができます。この共通言語は、他の経営リスクと同様、ビジネスと財務上の影響に基づいたリスク軽減の取り組みを優先順位付けし、リスクとセキュリティー対策への投資について、より迅速で的確な意思決定を行うことが可能となります。

サイバーセキュリティー・リスク定量化のアプローチ

サイバーセキュリティー・リスクを定量化するための方法論として、FAIR(Factor Analysis of Information Risk)1というリスク要因分析手法が注目されています。FAIRは、2016年に発表された定量的リスク分析モデルのデファクトスタンダードであり、潜在的な将来の損失(リスク)を、1つ以上のリスクシナリオの評価を通じ、金銭的価値として算出するプロセスです。

まず、サイバーセキュリティー・リスクを定量化するために、「資産」、「脅威」、「影響」という3つの構成要素から(図1)、保護すべき資産に対して脅威が顕在化するまでの、リスクシナリオを策定します。

(図1)リスクシナリオ構成要素

(図1)リスクシナリオ構成要素

1つ目の構成要素である「資産」は、企業・組織として保護すべき重要な情報システムや設備、データを選定し、各々の金銭的価値を算出します。例えば、機密情報が格納されたデータベースやアプリケーション、物理的な施設、従業員、サプライヤーとの関係、現金、貯蓄、投資などの金融商品などが該当します。

2つ目の構成要素である「脅威」は、資産に対して攻撃し、組織に損失をもたらす可能性のある事象です。それら事象を選定し、各々の発生頻度を算出します。例えば、ハッカーや組織犯罪グループが仕掛けるサイバー攻撃、従業員の内部不正、地震、ハードディスクの故障、バグのあるソフトウェア、コンピューターウィルスやマルウェアなどが該当します。

3つ目の構成要素である「影響」は、資産に対し脅威がもたらされた結果として発生する損害事象とその損害額です。例えば、セキュリティー事故(情報の漏えい、紛失、改ざん、滅失等)により直接的に生じる損害額(情報の市場価値、情報の作成に要した費用等)、事故の復旧に要する費用(人件費、機器費、設備費等)、問合せ対応人件費、謝罪広告費用、訴訟費用、事故が発生しなければ得られた利益額、風評被害、信頼失墜による売上低下、株価への影響などが該当します。

その後、策定されたリスクシナリオに対して、FAIRフレームワーク のリスク要因(図2)について検討と分析を行います。例えば、「管理の実施頻度」については、どのようなスキルを持った従業員が何人体制でどのような管理を行っているのかを情報収集し、セキュリティー専門家が分析を加えて各要素の数値を算出し、シミュレーションを行うことで、想定されるサイバーセキュリティーのリスクシナリオが顕在化した場合の、金銭的価値を算出していきます。

(図2)FAIRフレームワークのリスクの要因分析

(図2)FAIRフレームワークのリスクの要因分析

サイバーセキュリティー・リスク定量化が投資の意思決定に寄与する事例

どのような場合にサイバーセキュリティー・リスクの定量化が投資の意思決定に寄与するのか、「IBMサイバーセキュリティー・リスク定量化支援サービス」の適用事例を示します。

企業Aの人事システムにはセキュリティー上の脆弱性が存在することがわかっていました。脆弱性を放置しておくとフィッシングの脅威にさらされ、多くの従業員個人情報が漏えいする恐れがあります。脆弱性を無くすためにシステム更改と暗号化の対応が必要でしたが、費用対効果を提示できなかったため、対応への投資は承認されませんでした。

そこでCISOは、「IBMサイバーセキュリティー・リスク定量化支援サービス」を採用し、対応を行わなかった場合の損失を算出したところ、最終的にはフィッシング被害で6.1億円の損失を引き起こすおそれがあることがわかりました。(図3、図4)2

リスクが金銭的価値として定量化されたことで、CISOは、他の経営陣に投資の必要性について簡潔に説明することができ、経営陣はこの潜在的な損失の予測に基づき、システム更改及び暗号化への対応として1.1億の投資判断を下しました。

(図3)年間損失エクスポージャー1

(図3)年間損失エクスポージャー1

(図4)年間損失エクスポージャー2

(図4)年間損失エクスポージャー2

最後に

日本情報システム・ユーザー協会(JUAS)の調査「企業IT動向調査報告書 2020」によると、企業が情報セキュリティー対策を強化しない理由として、「コストが掛かりすぎる」が最も高い割合を占めています。また、「対策すべき内容が把握できていない」と「リスクが把握できていない」を含めると、さらに高い割合となり、現状の把握・分析が十分でないことも対策強化が進まない大きな課題になっていると推察されます。

経営層にサイバーセキュリティーの重要性を理解してもらうためには、対策を講じないことによるリスクを金銭的価値として定量化し、対策を講じることで得られるメリット、すなわち投資対効果を数値として明確に示すことが極めて効果的です。

サイバーセキュリティー・リスクの定量化によって、新しいテクノロジーの導入とセットで、対策への投資もスピーディーに妥当性を判断できるようになり、デジタルトランスフォーメーション(DX)への取り組みがさらに加速していくことを期待します。

IBM Securityでは、お客様が抱えるサイバーセキュリティー・リスクの調査からソリューションの導入まで、トータルでサイバーセキュリティー対策をご支援します。

サイバーセキュリティー・リスク定量化や、それに伴うアセスメントにおいてIBM Security では、以下のようなご支援が可能です。

IBMサイバーセキュリティー・リスク定量化支援サービス
リスクを定量化するための幅広い知見と有効なフレームワークを用い、サイバーセキュリティーリスク定量化支援サービスをご提供します。

・セキュリティーリスク・アセスメント
お客様の資産・脅威・影響を分析し、サイバーセキュリティー・リスクを定量化するにあたって前提となる、リスクシナリオの策定をご支援します。

サイバーセキュリティー・リスク定量化ののち、最適なソリューションの選定までトータルでお客様のセキュリティー対策実現に向けてご支援します。


1FAIR Instituteホームページより https://www.fairinstitute.org/what-is-fair

21ドル=105円換算で算出

 

【関連情報】

【お問い合わせ】

日本アイ・ビー・エム株式会社 セキュリティー事業本部 セキュリティ&リスクコンサルティング部長 中島大輔まで、にてお問い合わせください。

【著者情報】


後藤 百合恵

執筆者

後藤 百合恵
日本アイ・ビー・エム株式会社
セキュリティー事業本部 コンサルティング&システム・インテグレーション
シニアコンサルタント

2015年に日本アイ・ビー・エム株式会社に入社。
認証・ID管理分野におけるグランドデザイン、セキュリティアセスメント、CSIRT構築、セキュリティガイドラインの策定等、広い分野でのコンサルティングプロジェクトに携わる。


中島 大輔

サービス責任者

中島 大輔
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
セキュリティ&リスクコンサルティング部長

1991年に日本アイ・ビー・エム株式会社に入社。お客様担当SEとして主にネットワーク・インフラ分野の設計・構築を担当後、2003年よりセキュリティー・コンサルタントとして、グローバル・セキュリティー管理態勢整備、CSIRT構築、セキュリティー・アセスメント、リスク分析、プライバシー保護、技術情報保護など、業種、分野問わず、サイバーセキュリティーにかかわる数多くのコンサルティングやプロジェクトをリードし、チームビルディングや組織マネージメントに豊富な実績を有している。


小川 真毅

事業責任者

小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA

More stories
2021-04-09

2021年版クラウド・セキュリティーに求められる5つの必須条件

クラウドへの移行を進めようとしている組織は、ハイブリッドクラウド、マルチクラウド、デジタル・トランスフォーメーション、マイクロサービスなど、業界用語の嵐に見舞われています。これらの用語に惑わされがちですが、留意すべき重要 […]

さらに読む

2021-04-02

MDR (マネージド・ディテクション & レスポンス) サービス選定に役立つ4つの視点とIBM Security MDRサービスの新機能

ビジネスに戦略的なセキュリティーの成果をもたらすManaged Detection and Response (MDR)サービス。本サービスのプロバイダーを選択する際に役立つ4つの視点をご紹介します。 全5回からなるこれ […]

さらに読む

2021-03-23

CISO/経営層向け「IBMサイバーセキュリティー・リスク定量化支援サービス」提供開始

サイバーセキュリティー対策を考える上でリスクマネジメントは不可欠ですが、リスクマネジメント手法の多くは、リスクの大きさを相対的な数値として算出するため、対策に要する費用の妥当性を計ることは困難です。費用の投資対効果を計る […]

さらに読む