2022 年 8 月 1 日 Corey Nachreiner 著

サイバーセキュリティでは、強固なセキュリティ体制の維持と、簡単で効率的なビジネスプロセスの実装との間で、常にせめぎ合いが繰り広げられています。これは、セキュリティのトレーニングをほとんど受けていない IT 部門（多くの中小企業の IT 部門がそうです）が日々直面している問題です。この相反する 2 つの優先事項のバランスは、ビジネス、脅威の状況、攻撃対象、あるいは日によっても変化します。しかし、強固なセキュリティ体制を維持しつつ、事業継続性と効率化を容易に保つ、という適切なラインを見つけることこそ、最終的にはリスク管理であると言えます。

サイバーセキュリティとはリスクの軽減であり、リスクを完全に排除することではありません（そもそも排除は不可能です）。では、意思決定者はどのようにしてリスクの限界点を決定すればよいのでしょうか。1 つの方法としては、以下の単純な方程式を使って考えることができます。それは

「リスク ＝ 脅威 x 脆弱性 x コスト」

という式です。現実には複雑な要素が絡むのでこれはやや単純すぎますが、企業がリスクを定量化して優先順位をつける方法を考え、ひいては「安全なアーキテクチャへの要望」と「ビジネス効率の最適化」の理想のバランスを見つけるために、この方程式が役立つはずです。

しかし、企業がリスクを管理する前に、そもそも何がリスクであるかを理解する必要があります。そのためには、まずデータアセットの評価を行い、何がどこに保管されているかを把握する必要があります。続いてアセットの重要性を理解するための、ビジネスインパクト分析が行われます。この 2 つの評価を組み合わせることで、重要なポイントがどこにあるのかを把握するために適切なフレームワークができあがります。

例えば、あるオンライン小売業者が、クレジットカード情報や個人情報など、非常に重要なデータを e コマースサーバに置いているとします。このサーバを保護し、ハッカーの手にデータを渡さないようにすることは当然必須です。また同時に、このデータはハッカーにとって何よりの優先事項で、攻撃の標的になる可能性が高いため、ここではアクセスのしやすさや効率よりもセキュリティが優先されるべきです。

しかし同企業が FTP サーバを使用して画像を転送するだけならば、このサーバはそれほど重要なアセットではなく、攻撃を受けるリスクも低いため、ビジネスの効率を優先させてもよいでしょう。

企業がセキュリティを犠牲にしてはならないもう 1 つの例は、管理ポートへのアクセスです。ハイブリッドワークへの移行に伴い、IT 部門としては、管理ポートをインターネットに開放し、どこからでもアクセスできるようにしたくなるものです。しかし、これには大きなリスクが伴います。「NORAD（北米航空宇宙防衛軍）が山の下に司令部を隠した」というほどの極端な例に倣う必要はありませんが、基本的に、ポートをむき出しにするリスクは取らないのが最善です。別の方法の用意には手間がかかりますが、変化する労働力モデルに安全に適応するために企業が行うべき先行投資と考えれば、もし怠った場合に起こりうる数百万ドルの損失やハッキングによる風評被害のリスクとは、比較にならないほど小さな金額です。

パッチ適用も、情報セキュリティの専門家が効率よりもセキュリティを優先させることが多い例です。パッチの適用時には、短期間システムを停止しなければならない場合がありますが、（Log4j のように）実環境で確認されている重要な脆弱性に対しては、ビジネスの連続性を犠牲にしてでもすぐにパッチを適用すべきです。しかし中には、脆弱性や影響を受けるソフトウェア自体の重要度が低い場合もあります。その際は次回の定期パッチ適用まで、パッチを遅らせることも可能です。これは許容できるリスクでしょう。

全体として、ビジネスの効率を落とさずに安全を確保する方法を常に考えているセキュリティ専門家や IT 部門にとって、どのようなリスクが許容可能で、どのようなリスクが絶対に許容できないか、それを根本的に理解することが重要です。この理解がなければ、組織がポリシーを策定し実践する際、ビジネスとその重要なアセットの保護、およびビジネス効率化の間で、適切なバランスについて明確な判断を下すことはできないでしょう。