図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

リスクの保有・低減・回避・移転

投稿日:

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4つの手法で考えていきます。

  • リスクの保有(許容)
  • リスクの低減
  • リスクの回避
  • リスクの移転

リスクの保有(許容)・低減・回避・移転

リスクの保有(許容)

ある事象に関して発生頻度と影響度が小さい場合は、リスクを保有(許容)します。つまり、他の優先順位の高い事象、リスクが高いものに集中しよう、という事です。リスクの保有をすべき事象として、例えば外部からのポートスキャンへの対策が考えられます。サービスをインターネット上で公開している以上ポートスキャンを受けるのは当たり前です。時々不明なIPからポートスキャンが行われる度に対策をとっていても意味はありません。そもそもポートスキャンはシステムやサービスへの影響は低いです。たまにサービスがダウンするからポートスキャンをしないでほしい、というようなサービスがありますが、そのようなサービスは修正するまで公開すべきではありません。ですので、一般的にはポートスキャンのように影響度も小さく、発生頻度も少ない場合は、何も対策を取らずにリスクを保有(許容)します。

しかしながら、保有(許容)とはいいつつも、リスクを管理する必要がありますので、モニタリングを行い記録を残す事は必要です。また、このリスクを保有(許容)する判断はマネジメントが行う必要があります。

リスクの低減

影響度が小さいが、頻繁に発生するリスクは削減すべきです。例えば、ユーザのログイン認証の際にパスワードが複雑過ぎて頻繁にパスワードを間違ってロックアウトがかかってしまう事が、パスワードをメモなどに書き残してしまう、という問題があったとします。パスワードを何かに書き残す事は会社のポリシー上NGである事が多いですが、影響度はそれほど大きいとは言えません。ただ頻繁に発生しますので、何かしら対策をとって発生頻度を少なくする必要があります。今回の例の場合は、例えば「秘密の合言葉」を準備しておいて、パスワードを失念した場合はユーザが自動的にパスワードの再設定ができる仕組みを導入したり、パスワード再発行のプロセスの変更を行う事で、リスクを低減する事ができます。

リスクの回避

発生頻度が多く影響度も大きい場合、様々なシステムやプロセスを導入する事で影響度を低減するように持って行きますが、影響度を低減できない場合はリスクを回避します。つまり「撤退」です。サービスを停止したり、会社を売却したり、リスクの根源となるものを会社から無くす事が最善である場合はリスク回避を行います。

リスクの移転

発生頻度は少ないが、発生した場合の影響度が大きい場合はリスクを移転します。移転する方法として保険への加入やアウトソースがあります。最近ではサイバーリスク保険を提供する保険会社が増えてきています。サイバーリスク保険はサイバー攻撃等で発生する損害賠償費用や調査費用、機会損失等を補償します。このサイバーリスク保険に加入する事で、リスクを保険会社に移転する事が可能になります。しかしながら、移転するリスクは金銭的リスクであり、実際にサイバー攻撃を受けて情報漏洩等を起こした事実は消すことができませんので、リスクを移転したからと言って安心する事はできません。

りすくの移転の別の方法としてアウトソースがあります。つまり、影響度の大きい部分を他社に任せる事によってリスクを保持しない方法です。例えば、セキュリティインシデント対応を外部にアウトソースしている企業があります。これはリスクの移転ともいえます。つまり、セキュリティインシデント自体は発生頻度は少ないが、いざ発生した際の影響度は大きいので、外部のプロフェッショナルに依頼する事が最善であるパターンです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ゼロデイ攻撃 図解サイバーセキュリティ用語

ゼロデイ攻撃とは、システムやアプリケーションに脆弱性が発見され、ベンダーが修正パッチをリリースする前にその脆弱性を悪用した攻撃の事を言います。ベンダーが提供する修正パッチのリリース日をワンデイ(1 d …

諜報活動はOSINT、SIGINT、HUMINTの3種類が基本 図解サイバーセキュリティ用語

サイバー空間上の諜報活動にはOSINT、SIGINT、HUMINTの3つの種類があります。これらは元々軍事用語として利用されていましたが、現在のサイバー空間上の諜報活動は戦争での諜報活動と同じように行 …

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …

ステガノグラフィー(steganography)とは?

ステガノグラフィー(steganography)とは、主に画像などのデータに他のデータやメッセージを埋め込む事でデータ・メッセージを隠蔽するための技術の事を言います。 一般的に暗号データは暗号化されて …