GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. コラム >
  3. オピニオン >
  4. >
  5. リスクアセスメントから始めるサイバーセキュリティ

リスクアセスメントから始めるサイバーセキュリティ

2018年4月5日(木曜日)

サイバー攻撃は私たちにとってごく身近な日常の出来事になっています。しかし、企業でも公的機関でも多くの組織において、どこにどれだけのサイバーリスクが潜んでいるか、正しく捉えられている組織はほとんどありません。制御システムさえもサイバーリスクに曝されていることを理解するために、改めてリスクアセスメントからはじめることが肝要です。

1.国際的なスポーツイベントを狙うサイバー攻撃

先日開催された国際的なスポーツイベントをサイバー攻撃が襲ったニュースは記憶に新しいところです。大会史上最悪となるハッカー攻撃を受けた可能性もあると言われています。実際の影響としては開会式直前にシステム障害が発生し、スタジアムのWi-Fiがダウンするほか、公式ウェブサイトのダウンにより観客がチケットを印刷できなくなる等、重要事案ではないもののいくつかのトラブルが発生しました。

日本でも2020年に開催が予定されていますが、ICT技術の活用がますます広がることが予想されるため、サイバー攻撃の脅威については過去大会を超えるものとして想定し、備えておく必要があります。すでに大会組織委員会では組織委員会CSIRTを立ち上げ、サイバーセキュリティ対策に着手している他、内閣サイバーセキュリティセンター(以下NISC)では政府機関・重要サービス事業者等に対するサイバーセキュリティに係る脅威・事案情報の収集・提供および対処支援調整を行う中核組織として、サイバーセキュリティ対処調整センターの準備を進めています。

さらにNISCでは、大会の安全・円滑な運営を支える重要サービス事業者を選定したうえで、リスクマネジメントの強化を通じ、想定されるサイバーリスクへの対策を促進させるための支援を進めています。この取り組みは2016年度より始まり、すでに100を超える事業者様がリスクアセスメントの取り組みに着手されています。次節では富士通総研がご支援した交通インフラ分野の事業者様の取り組みについてご紹介致します。

【図1】重要サービス分野(NISC資料より)
【図1】重要サービス分野(NISC資料より)

2.制御システムのセキュリティ強化 ―交通インフラ分野A社様の事例―

本節では、ICT部門が制御システムを含め全社に対象を拡げてリスクアセスメントを実施されたA社様の事例をご紹介します。

交通インフラ分野のA社様では、2017年度から前述のNISCリスクアセスメントの対象事業者として選定され、ICT部門が推進部門となり取り組みを開始されました。A社様のICT部門は、NISCからの要請への対応にとどまらず、この取り組みを契機に全社的視点でリスクを明らかにし、セキュリティレベルを向上させたいという強い思いを持たれていました。

A社様では交通インフラサービスを担う各主管部門が独自に導入している重要な制御システムが多数存在していましたが、ICT部門がそれらのセキュリティについて関与することはこれまではなく、システムの実態すらほとんど把握できていませんでした。一方で、ICT部門がすべての制御システムのサイバーリスクを分析するのは際限のない対応となるため、真に重要な制御システムについては、ビジネスリスク分析を通じて特定し、さらに特定した重要システムのサイバーリスクを分析、評価するアプローチで進めました。

ア)ビジネスリスク分析

ビジネスリスク分析の最初の一歩として、A社様の事業・サービスがどのような業務で構成され、どの業務にどのシステムが利用されているのかの机上棚卸しをICT部門様と富士通総研とで実施しました。具体的には、バリューチェーン観点で顧客サービス提供までの構成要素を鳥瞰図として整理し、大会開催の視点でクリティカルな業務・情報システムの仕分け(色分け)を行いました。

【図2】バリューチェーン視点での業務鳥瞰図による整理(イメージ)
【図2】バリューチェーン視点での業務鳥瞰図による整理(イメージ)

この鳥瞰図は、投資家向けのIR資料をはじめ、内部資料としての職務分掌表や新人向け研修資料のほかに、各主管部門への簡易なアンケートの結果等を用いて作成しました。これにより、今まで見えていなかった主管部門の重要な業務や制御システムの存在を俯瞰的に把握できるようになりました。リスクアセスメントは、重要な領域にフォーカスし、効率的に進めるために対象を「絞り込む」作業、いわゆる「リスク特定」から着手しますが、「リスク特定」するためには全体俯瞰が必要条件となります。すべてを俎上に載せたうえで、相対的なリスク評価を行い、どのシステムのリスク対応により注力すべきかを明らかにします。

イ)ICTリスク分析

重要なシステムを明らかにした後は、対象システムがそれぞれどんな脅威に曝される可能性があるのか、脅威に対する脆弱性、つまりリスク対策状況を分析する作業に入ります。 リスク対策状況を把握するために質問票形式のアセスメントフレームワークを作成しました。この質問票は、独立行政法人情報処理推進機構(IPA)が2017年10月に発行した「制御システムのセキュリティリスク分析ガイド」などのガイドラインに掲載されている重要なセキュリティ対策項目をベースにチェックリスト化したもので、①ネットワークセキュリティ、②サーバー・端末セキュリティ、③ベンダー管理、④人的セキュリティ、⑤物理セキュリティ、⑥セキュリティ監視、⑦インシデント対応、⑧第三者評価の8要素から構成されています。

【図3】制御系システムアセスメントフレームワーク(質問票)
【図3】制御系システムアセスメントフレームワーク(質問票)

この質問票を用いて、各主管部門の制御システムの現状を把握するとともに、その後の対策を支援のためのツールとしても活用できるものとしました。質問票は、ICT部門と各主管部門間のリスクコミュニケーションの共通言語のツールとしても機能しています。

今後A社様では、リスクアセスメントを順次実施しながら、制御系システムセキュリティのベースラインをICT部門が中心となって策定し、各主管部門はこのベースラインを参考に対応を進めていく仕組みを目指されています。この仕組みを運用していくことで、大会に向けてサイバーセキュリティの強化を推進されていく予定です。

3.シャドーITのセキュリティ強化 ―エネルギー分野B社様の事例―

前節ではICT部門による制御システムまで対象を拡げたリスクアセスメントの事例についてご紹介しましたが、本節では事業部門が独自に導入している情報システム、いわゆるシャドーITに対するリスクアセスメントの事例についてご紹介します。

エネルギー分野のB社様では、ICT部門の統制範囲外のシステムについて、サイバーセキュリティだけでなく、品質問題も抱えておられました。ICT部門の管掌システムについては、開発基準や運用基準を整備し、ICT部門自らのマネジメントにより強固な統制が行われていましたが、IoTの活用やデジタルマーケティングなど、事業活動のデジタル化推進により、事業部門主導でのICT導入機会が増える一方、セキュリティ面や品質面のリスクも増大し、重大なインシデントが発生する状況にありました。

そこで、事業部門で導入予定のシステムについては、企画・計画フェーズでICT部門に情報提供していただき、それらの情報をもとにICT部門でリスク分析を実施した後、事業部門で最終的なリスクレベルの確認・調整を実施する、といった簡易的なリスクアセスメントのプロセスを導入しました。これにより初期の段階でリスク分析を通じてリスクレベル(高・中・低)に応じた統制カテゴリに区分し、計画段階からの統制方針の明確化を図りました。

【図4】統制カテゴリを決定するためのリスクアセスメント
【図4】統制カテゴリを決定するためのリスクアセスメント

統制カテゴリの区分後は、リスクレベル高のシステムについては、原則ICT部門の開発・運用基準に準拠したICT部門の管理対象となりますが、リスクレベル中のシステムは、現行の開発・運用基準を簡素化した新基準を整備し、事業部門が自ら管理するルールとしました。また、リスクレベル低のシステムは基本的には管理対象外となりますが、社内ネットワークに接続している限りはサイバーリスクを想定する必要があるため、セキュリティのミニマム準拠を事業部門で実施する仕組みとしました。

B社様ではICT部門が全社的なサイバーセキュリティを推進する役割を明確に打ち出すことで、上記の事業部門の独自システムだけでなく、制御システムについても関連部門との連携により強固な体制構築を進められています。それにより、サイバーリスクの所在を俯瞰し、さらに統制が必要なものと、不要なものを仕分けることで全社最適な投資の優先順位付けも今後可能になってくると考えます。

4.ICT部門の牽引によるセキュリティ・レジリエンス

経済産業省とIPAによる「サイバーセキュリティ経営ガイドライン」が昨年11月に改訂、公開されました。本ガイドラインの冒頭には、“経営者がリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の成長のためのセキュリティ投資を実施すべきである”と明記されています。

このようなガイドラインが整備された背景の1つとして、サイバーセキュリティを担う現場と経営者の間の温度差があります。私たちがサイバーセキュリティを担当されるお客様を訪問してよくお伺いするのが、「経営者の理解がまだ足りず、十分な要員や予算が確保できない」というお悩みです。一方で経営者の方の立場からすると、セキュリティ対策の重要性は認識しているが、個別対策や局所的な議論ばかりで、セキュリティ対策の全体像や中期的戦略がなかなか見えてこないというのが本音のようです。

サイバーセキュリティにおけるレジリエンス力の要諦は「防御・検知・対応」ですが、本稿でご紹介してきたとおり、リスクの予防(防御)、有事への備え(検知・対応)を最適化するためのリスクアセスメントは組織全体で取り組むための最適なアプローチです。これは、事業継続におけるビジネスインパクト分析(BIA;Business Impact Analysis)と同じアプローチになります。このアプローチの実現には、組織全体を俯瞰できる立場にあり、かつサイバーセキュリティに関する知見を有するICT部門が中核的な役割を担っていくことが求められます。サイバーセキュリティの1つの潮流となりつつある、リスクアセスメントの取り組みを富士通総研では注力してご支援していきます。

関連サービス

【事業継続マネジメント(BCM)】
ビジネスを維持・運営する上で重要なのは、日々の活動を安定化させることです。事故や災害で業務が停止し、復旧が遅れれば収益だけでなく、企業の存続にすら深刻な影響を及ぼすことがあります。

【セキュリティレジリエンスコンサルティング】
シミュレーション演習による気付きから、現状対策レベルの評価、CSIRT*構築支援、インシデント発生時の対応能力を検証する演習までをトータルにご支援します。


藤本 健(ふじもと たける)
株式会社富士通総研 ビジネスレジリエンスグループ グループ長
1996年 富士通株式会社入社後、コーポレート部門を経てコンサルティング部門に異動、2007年より株式会社富士通総研。主な専門はリスクマネジメント、ITガバナンス、環境・エネルギーなど。近年はICT部門の電力・ガスシステム改革対応支援、サイバーセキュリティ経営に関するコンサルティングに従事。

山口 貴詩(やまぐち たかし)
株式会社富士通総研 ビジネスレジリエンスグループ チーフシニアコンサルタント
2003年 富士通株式会社入社、コンサルティング部門に配属、2007年より株式会社富士通総研。主な専門はリスクマネジメント、事業継続マネジメント、サイバーセキュリティなど。近年はBCP/BCM整備、危機対応教育・演習支援、リスクマネジメント構築、サイバーセキュリティに関するコンサルティングに従事。