ここでは、はじめてリスク分析にかかろうか、どうしようかとお悩みの方に少しだけリスク分析についての情報をお伝えしたいと思います。
【リスク分析の必要可否】
はじめてセキュリティの対策を行うにあたり、もしお客様がアンチウィルスやルータ・ファイアウォールも無いというのであればリスク分析の前にやるべき事があります。まずは、IPAのセキュリティ・アクション、JPCERTの提供するJ-CLICSを使い最低限のセキュリティを固めましょう。
しかしこれではランサムウェアやマルウェア対策など最近のサイバー攻撃にはまったく不十分です。次のステップで、何にどのような対策をすべきかを知る必要があります。リスク分析はその次のステップで必要なのです。
リスク分析を行うには以下の2通りの方法があります。
【リスク分析をしてもらいたいお客様】
セキュリティ対策に対し十分な予算が確保できるお客様は、そのままコンサルタントやベンダーのリスク分析チームに分析を依頼することをお勧めします。ただしお客様の資産の洗い出しやシステムの把握等でお客様の工数も相当は必要になります。セキュリティ対策予算は保有されるIT予算の十数%程度との調査結果がありますが、そこから逆算すると一般的な設備ベンダーやセキュリティベンダーに依頼する場合、数億円以上のIT資産を保有されていらっしゃるお客様が相当します。(それでも分析後の対策費用は別途必要ですが)
分析に相当の費用がかかるのは、それなりに分析のための情報を調査し、それを分析する手順に手間がかかるからです。(しかもそれらベンダーはまだリスク分析は不慣れなはずです)
弊社では、リスク分析ツールを使う事でこの手間を極力減らす事ができます。単純な最低限の必須入力項目のみを利用し、自動化マクロを使いおよそ1/10程度の手間でリスク分析までを行う事ができます。
【リスク分析を自社で実施したい客様】
将来的な自社での展開を想定し、リスク分析を自社で行いたい場合、キーマンを立ててリスク分析を学び、その方を中心としたセキュリティ対策チームを組まれ、リスク分析を行っていく事をお勧めしています。
INJANET株式会社では、この学んでリスク分析を行いたいとお考えのお客様にサポートを提供いたします。
IPAの公開している「制御システムのセキュリティリスク分析ガイド」を実践すると実は3つの山がある事にお気づきになるかと思います。その山とは、
①資産一覧表を作るための各種の情報の整理
②事業被害ベースのリスク分析の攻撃ツリーの取捨選択
③分析結果の活用
この3つの山をどのように乗り越えるかは、力尽くで山を登らなくても山の高さを低くする方法もあります。そういった点だけでもサポートできれば、リスク分析はとてもスムースに進むと思います。
【まとめ】
・リスク分析より先に、やるべき事はある(チェックリスト等)
・分析を丸投げする事はできるが、相当の費用は覚悟すべき
・お客様ご自身で分析を行うことも可能で、その場合将来に渡り展開可能
・分析の山は3つ。そこを簡単に乗り越えるために弊社はサポートいたします
気になる方は、 info 【@】injanet.co.jp までご連絡ください。
