リスク自体がなくなる方向に業務を改める
ーーヒューマンエラーを誘ったり、ソーシャルネットワークの手法を使ったりするような攻撃も依然として多いですが、CIOやCISOは何を対策すべきでしょうか。
人はよく狙われます。もはや人を狙うのがコストが一番安いからです。
サイバー攻撃は「サイバー」という言葉がつくように技術的な側面も強いのですが、その優先順位は低くなっていると感じます。
「人の脆弱性」はパッチを当てれば治るものではありません。ずっと残り続ける「安定したリスク」なのです。
日々進化していくサイバー攻撃のような「不安定なリスク」に注意が行きがちですが、人に起因する「安定したリスク」についても、きっちりと対応方針を検討する必要があります。そこで、最優先で検討いただきたいのが「回避」です。
リスク対応策には「軽減」「移転」「回避」「保有」があることは皆さんご存知かと思いますが、意外に「回避」が検討されていない。
回避は、なにも事業から撤退するというレベルの話だけではなくて、そもそもリスク自体がなくなるように検討するということです。
ーー具体的には、どんなことが考えられそうでしょうか。
システム的な観点だと、例えば、SDカードや、USBメモリ経由でのマルウェア感染や紛失による情報漏えいを「回避」するため、ノートPCなどのSDカードスロットや、USBスロットは物理的に使えないようにしてしまいます。
管理的な観点だと、例えば従業員に配布するメールアドレスは本当に必要でしょうか。
宅配のドライバーや工場の作業員など、職務によってはメールアドレスが必要ないケースもあるかもしれません。社内の連絡は掲示板やその他の手段で代替できるでしょう。
このようにメールアドレスの付与をやめることで、その従業員が標的型メールを受け取って開封するというリスクを「回避」できます。また、メールアドレスを付与しなければ、標的型メールに関する訓練や教育も不要になります。
リスクに対応するということはコストがかかるわけですから、リスクをなくせばコストが下げられる。その分、業務が効率化するわけです。
とにかく「業務をするためには本当に何が必要なのか」というところを突き詰めて、要らないところはどんどん削っていく。削っていくことで、そもそものセキュリティリスクを「なくす」ということを検討する必要があると思います。
業務を含めて見直すことになりますから、「3つの防衛線モデル」だと、担当は業務執行部門、すなわち第1の防衛線になります。そして、それをCISOやセキュリティ部門といった第2の防衛線がモニタリングして助言や訂正を行う。
まずはこのフレームワークを確立することがポイントでしょう。

3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成
<続く>