リスクを減らすマネジメント--情報セキュリティの適正価格を考える - (page 3)

リスク自体がなくなる方向に業務を改める

ーーヒューマンエラーを誘ったり、ソーシャルネットワークの手法を使ったりするような攻撃も依然として多いですが、CIOやCISOは何を対策すべきでしょうか。

　人はよく狙われます。もはや人を狙うのがコストが一番安いからです。

　サイバー攻撃は「サイバー」という言葉がつくように技術的な側面も強いのですが、その優先順位は低くなっていると感じます。

　「人の脆弱性」はパッチを当てれば治るものではありません。ずっと残り続ける「安定したリスク」なのです。

　日々進化していくサイバー攻撃のような「不安定なリスク」に注意が行きがちですが、人に起因する「安定したリスク」についても、きっちりと対応方針を検討する必要があります。そこで、最優先で検討いただきたいのが「回避」です。

　リスク対応策には「軽減」「移転」「回避」「保有」があることは皆さんご存知かと思いますが、意外に「回避」が検討されていない。

　回避は、なにも事業から撤退するというレベルの話だけではなくて、そもそもリスク自体がなくなるように検討するということです。

ーー具体的には、どんなことが考えられそうでしょうか。

　システム的な観点だと、例えば、SDカードや、USBメモリ経由でのマルウェア感染や紛失による情報漏えいを「回避」するため、ノートPCなどのSDカードスロットや、USBスロットは物理的に使えないようにしてしまいます。

　管理的な観点だと、例えば従業員に配布するメールアドレスは本当に必要でしょうか。

　宅配のドライバーや工場の作業員など、職務によってはメールアドレスが必要ないケースもあるかもしれません。社内の連絡は掲示板やその他の手段で代替できるでしょう。

　このようにメールアドレスの付与をやめることで、その従業員が標的型メールを受け取って開封するというリスクを「回避」できます。また、メールアドレスを付与しなければ、標的型メールに関する訓練や教育も不要になります。

　リスクに対応するということはコストがかかるわけですから、リスクをなくせばコストが下げられる。その分、業務が効率化するわけです。

　とにかく「業務をするためには本当に何が必要なのか」というところを突き詰めて、要らないところはどんどん削っていく。削っていくことで、そもそものセキュリティリスクを「なくす」ということを検討する必要があると思います。

　業務を含めて見直すことになりますから、「3つの防衛線モデル」だと、担当は業務執行部門、すなわち第1の防衛線になります。そして、それをCISOやセキュリティ部門といった第2の防衛線がモニタリングして助言や訂正を行う。

　まずはこのフレームワークを確立することがポイントでしょう。

3 Lines of Defense Model
出典：”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成

　<続く>