図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

リスクの保有・低減・回避・移転

投稿日:

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4つの手法で考えていきます。

  • リスクの保有(許容)
  • リスクの低減
  • リスクの回避
  • リスクの移転

リスクの保有(許容)・低減・回避・移転

リスクの保有(許容)

ある事象に関して発生頻度と影響度が小さい場合は、リスクを保有(許容)します。つまり、他の優先順位の高い事象、リスクが高いものに集中しよう、という事です。リスクの保有をすべき事象として、例えば外部からのポートスキャンへの対策が考えられます。サービスをインターネット上で公開している以上ポートスキャンを受けるのは当たり前です。時々不明なIPからポートスキャンが行われる度に対策をとっていても意味はありません。そもそもポートスキャンはシステムやサービスへの影響は低いです。たまにサービスがダウンするからポートスキャンをしないでほしい、というようなサービスがありますが、そのようなサービスは修正するまで公開すべきではありません。ですので、一般的にはポートスキャンのように影響度も小さく、発生頻度も少ない場合は、何も対策を取らずにリスクを保有(許容)します。

しかしながら、保有(許容)とはいいつつも、リスクを管理する必要がありますので、モニタリングを行い記録を残す事は必要です。また、このリスクを保有(許容)する判断はマネジメントが行う必要があります。

リスクの低減

影響度が小さいが、頻繁に発生するリスクは削減すべきです。例えば、ユーザのログイン認証の際にパスワードが複雑過ぎて頻繁にパスワードを間違ってロックアウトがかかってしまう事が、パスワードをメモなどに書き残してしまう、という問題があったとします。パスワードを何かに書き残す事は会社のポリシー上NGである事が多いですが、影響度はそれほど大きいとは言えません。ただ頻繁に発生しますので、何かしら対策をとって発生頻度を少なくする必要があります。今回の例の場合は、例えば「秘密の合言葉」を準備しておいて、パスワードを失念した場合はユーザが自動的にパスワードの再設定ができる仕組みを導入したり、パスワード再発行のプロセスの変更を行う事で、リスクを低減する事ができます。

リスクの回避

発生頻度が多く影響度も大きい場合、様々なシステムやプロセスを導入する事で影響度を低減するように持って行きますが、影響度を低減できない場合はリスクを回避します。つまり「撤退」です。サービスを停止したり、会社を売却したり、リスクの根源となるものを会社から無くす事が最善である場合はリスク回避を行います。

リスクの移転

発生頻度は少ないが、発生した場合の影響度が大きい場合はリスクを移転します。移転する方法として保険への加入やアウトソースがあります。最近ではサイバーリスク保険を提供する保険会社が増えてきています。サイバーリスク保険はサイバー攻撃等で発生する損害賠償費用や調査費用、機会損失等を補償します。このサイバーリスク保険に加入する事で、リスクを保険会社に移転する事が可能になります。しかしながら、移転するリスクは金銭的リスクであり、実際にサイバー攻撃を受けて情報漏洩等を起こした事実は消すことができませんので、リスクを移転したからと言って安心する事はできません。

りすくの移転の別の方法としてアウトソースがあります。つまり、影響度の大きい部分を他社に任せる事によってリスクを保持しない方法です。例えば、セキュリティインシデント対応を外部にアウトソースしている企業があります。これはリスクの移転ともいえます。つまり、セキュリティインシデント自体は発生頻度は少ないが、いざ発生した際の影響度は大きいので、外部のプロフェッショナルに依頼する事が最善であるパターンです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

サイバーデセプション(Cyber Deception)とは おとりを使った攻めのセキュリティ

デセプションとは「だます」「欺く」という意味があります。サイバーデセプション(Cyber Deception)とは攻撃者をだます事を意味しており、ある工夫によってサイバー攻撃者を騙して攻撃者の情報を収 …

CDoSとは 中国発信のDoS攻撃 図解サイバーセキュリティ用語

CDoSとはChina DoSの略で、中国からのDoS攻撃の事を指します。この言葉が作られた理由は単純に中国からのDoS攻撃が多いからです。これは対日本に限ったわけではなくアメリカや東南アジア、欧州に …

サイバー保険とは? 日本におけるサイバー保険の現状 図解サイバーセキュリティ用語

少し前まではサイバー攻撃は映画やドラマの中で行われる、めったにない事件という認識があり、時々ニュースになると非常に驚いていたと思います。しかしながら最近ではサイバー攻撃は毎日のように発生しており、誰も …

水飲み場攻撃 図解サイバーセキュリティ用語

水飲み場攻撃は標的型攻撃の1つですが、「標的」を装わないのが特徴です。通常の標的型攻撃はターゲットに対してしつこくフィッシングメールを送付したり、ターゲットのサーバをスキャンして脆弱性を発見して悪用を …

SOC(セキュリティオペレーションセンター)とは 図解サイバーセキュリティ用語

SOCとはセキュリティオペレーションセンターの略で、「ソック」と呼びます。SOCのメインの業務はセキュリティの監視です。ITの世界では監視とはOSやデバイスのログを収集して異常なログを見つけ出しすこと …