図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

リスクの保有・低減・回避・移転

投稿日:

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4つの手法で考えていきます。

  • リスクの保有(許容)
  • リスクの低減
  • リスクの回避
  • リスクの移転

リスクの保有(許容)・低減・回避・移転

リスクの保有(許容)

ある事象に関して発生頻度と影響度が小さい場合は、リスクを保有(許容)します。つまり、他の優先順位の高い事象、リスクが高いものに集中しよう、という事です。リスクの保有をすべき事象として、例えば外部からのポートスキャンへの対策が考えられます。サービスをインターネット上で公開している以上ポートスキャンを受けるのは当たり前です。時々不明なIPからポートスキャンが行われる度に対策をとっていても意味はありません。そもそもポートスキャンはシステムやサービスへの影響は低いです。たまにサービスがダウンするからポートスキャンをしないでほしい、というようなサービスがありますが、そのようなサービスは修正するまで公開すべきではありません。ですので、一般的にはポートスキャンのように影響度も小さく、発生頻度も少ない場合は、何も対策を取らずにリスクを保有(許容)します。

しかしながら、保有(許容)とはいいつつも、リスクを管理する必要がありますので、モニタリングを行い記録を残す事は必要です。また、このリスクを保有(許容)する判断はマネジメントが行う必要があります。

リスクの低減

影響度が小さいが、頻繁に発生するリスクは削減すべきです。例えば、ユーザのログイン認証の際にパスワードが複雑過ぎて頻繁にパスワードを間違ってロックアウトがかかってしまう事が、パスワードをメモなどに書き残してしまう、という問題があったとします。パスワードを何かに書き残す事は会社のポリシー上NGである事が多いですが、影響度はそれほど大きいとは言えません。ただ頻繁に発生しますので、何かしら対策をとって発生頻度を少なくする必要があります。今回の例の場合は、例えば「秘密の合言葉」を準備しておいて、パスワードを失念した場合はユーザが自動的にパスワードの再設定ができる仕組みを導入したり、パスワード再発行のプロセスの変更を行う事で、リスクを低減する事ができます。

リスクの回避

発生頻度が多く影響度も大きい場合、様々なシステムやプロセスを導入する事で影響度を低減するように持って行きますが、影響度を低減できない場合はリスクを回避します。つまり「撤退」です。サービスを停止したり、会社を売却したり、リスクの根源となるものを会社から無くす事が最善である場合はリスク回避を行います。

リスクの移転

発生頻度は少ないが、発生した場合の影響度が大きい場合はリスクを移転します。移転する方法として保険への加入やアウトソースがあります。最近ではサイバーリスク保険を提供する保険会社が増えてきています。サイバーリスク保険はサイバー攻撃等で発生する損害賠償費用や調査費用、機会損失等を補償します。このサイバーリスク保険に加入する事で、リスクを保険会社に移転する事が可能になります。しかしながら、移転するリスクは金銭的リスクであり、実際にサイバー攻撃を受けて情報漏洩等を起こした事実は消すことができませんので、リスクを移転したからと言って安心する事はできません。

りすくの移転の別の方法としてアウトソースがあります。つまり、影響度の大きい部分を他社に任せる事によってリスクを保持しない方法です。例えば、セキュリティインシデント対応を外部にアウトソースしている企業があります。これはリスクの移転ともいえます。つまり、セキュリティインシデント自体は発生頻度は少ないが、いざ発生した際の影響度は大きいので、外部のプロフェッショナルに依頼する事が最善であるパターンです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式 共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通 …

fiewall

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻 …

タイポスクワッティングとは?

タイポスクワッティングとは、ユーザがWebブラウザにURLを入力する際の打ち間違いを利用して、ユーザを悪意のあるWebサイトに誘導する手法の事を言います。タイポスクワッティングは英語でtyposqua …

スパムメールの由来・語源とは?

スパムメールとは、宣伝目的のメールを無差別かつ大量に送信されるメールの事を言います。スパムメールは皆さんの個人のメールにも会社のメールにも送信されており、世界で送信されているメールの70%ほどがスパム …