リスク分析の勘所
2020/6/22のSecurity Nextさんの記事で、『中小へ専門家無償派遣でセキュ対策推進 – 継続指導に課題も』というのがありました。
セキュリティの底上げのため、IPAが中小企業に無償でセキュリティ対策支援を行ったという記事です。
無償派遣で行った対策は、セキュリティ指針を立てたり基本的なセキュリティ対策を実施するというレベルと思われますが、実はそこから先の対策はケースバイケースで難しいと思います。
セキュリティの対策を行うとコストがかかる。どこまでやれば、どこまでお金をかければ安心できるのか、という考えは常に付きまといます。例えば、セキュリティでは最先端を行っていると思われていた三菱電機やNTTコミュニケーションズなどもあっさりサイバー攻撃の餌食になっています。つまりセキュリティはお金をかけても無駄なのではないかと言う考えは拭えません。
しかしながら、金融関連ではこのようなセキュリティインシデントはあまり聞こえてきません。やればその意味はあるのだ、という事が答えだと思います。
セキュリティの強度とかけるコストの関係の概念図は下の黒線のようになっていると思います。つまり高度なセキュリティを望むとコストはうなぎ登りに高くなってしまう。
実際、一般的なペネトレーションテストを行うだけでもあっというまに100万円のオーダーを超えていきます。(工数1日10万円以上のエンジニアが複数人、2,3ヶ月動くのです)
では、最初に戻って、基本的な対策を行った場合のセキュリティ強度はどうでしょうか?
基本的な対策では、今のサイバー攻撃はほとんど防ぐ事は出来ないと思います。2年ほど前、セキュリティ専門家に話を聞いたとき、一般的なアンチウィルス(*シグネチャ検知方式)では半分以上の攻撃は検知できない、と話していました。
そんな程度です。
経産省の方のスピーチでも昨年の大阪商工会議所の調査結果では、侵入されていた企業はどこもアンチウィルスを入れていても侵入されていた、という話を聞きました。
今のサイバー攻撃の被害を低減するためには、基本的な対策ではまったく不十分で、強化が必要です。その強化を言われるがままにやみくもに行うと上の図の黒線のグラフのようにコストがどんどん上昇するのです。このカーブを抑えるためには、適切なコストのリスク分析を行うのがもっとも合理的なセキュリティ強度の高め方だとINJANETは考えています(青線のグラフです)。
確かにリスク分析に非常に多くの工数とコストをかけたリスク分析(例えば先に紹介したペネトレーションテストなども含め)も行う事はできますが、そうするとそのコストはどんどん上がっていきます(赤線のグラフです)。
その勘所についてINJANETはリスク分析手法を最適化し、コストを抑えた分析ができるようにと考えています。実際の分析も、弊社で行うプランもありますが、お客様を中心としてサポートするプラン、その後の対策の提案と実際の対策もお客様中心、弊社で対応というプランも考えています(下図)。
とりあえず、基本的な強化というレベルまで達することを目標としてはいかがでしょうか。