リスクの保有・低減・回避・移転 – 図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

リスクの保有・低減・回避・移転

投稿日:

リスクとは被害を被る可能性の事です。ITではリスクは脆弱性・脅威・情報資産の3つの組み合わせによって表現する事ができ、その発生頻度や影響度によってリスクに対する対策が変わってきます。リスク対策として4つの手法で考えていきます。

  • リスクの保有(許容)
  • リスクの低減
  • リスクの回避
  • リスクの移転

リスクの保有(許容)・低減・回避・移転

リスクの保有(許容)

ある事象に関して発生頻度と影響度が小さい場合は、リスクを保有(許容)します。つまり、他の優先順位の高い事象、リスクが高いものに集中しよう、という事です。リスクの保有をすべき事象として、例えば外部からのポートスキャンへの対策が考えられます。サービスをインターネット上で公開している以上ポートスキャンを受けるのは当たり前です。時々不明なIPからポートスキャンが行われる度に対策をとっていても意味はありません。そもそもポートスキャンはシステムやサービスへの影響は低いです。たまにサービスがダウンするからポートスキャンをしないでほしい、というようなサービスがありますが、そのようなサービスは修正するまで公開すべきではありません。ですので、一般的にはポートスキャンのように影響度も小さく、発生頻度も少ない場合は、何も対策を取らずにリスクを保有(許容)します。

しかしながら、保有(許容)とはいいつつも、リスクを管理する必要がありますので、モニタリングを行い記録を残す事は必要です。また、このリスクを保有(許容)する判断はマネジメントが行う必要があります。

リスクの低減

影響度が小さいが、頻繁に発生するリスクは削減すべきです。例えば、ユーザのログイン認証の際にパスワードが複雑過ぎて頻繁にパスワードを間違ってロックアウトがかかってしまう事が、パスワードをメモなどに書き残してしまう、という問題があったとします。パスワードを何かに書き残す事は会社のポリシー上NGである事が多いですが、影響度はそれほど大きいとは言えません。ただ頻繁に発生しますので、何かしら対策をとって発生頻度を少なくする必要があります。今回の例の場合は、例えば「秘密の合言葉」を準備しておいて、パスワードを失念した場合はユーザが自動的にパスワードの再設定ができる仕組みを導入したり、パスワード再発行のプロセスの変更を行う事で、リスクを低減する事ができます。

リスクの回避

発生頻度が多く影響度も大きい場合、様々なシステムやプロセスを導入する事で影響度を低減するように持って行きますが、影響度を低減できない場合はリスクを回避します。つまり「撤退」です。サービスを停止したり、会社を売却したり、リスクの根源となるものを会社から無くす事が最善である場合はリスク回避を行います。

リスクの移転

発生頻度は少ないが、発生した場合の影響度が大きい場合はリスクを移転します。移転する方法として保険への加入やアウトソースがあります。最近ではサイバーリスク保険を提供する保険会社が増えてきています。サイバーリスク保険はサイバー攻撃等で発生する損害賠償費用や調査費用、機会損失等を補償します。このサイバーリスク保険に加入する事で、リスクを保険会社に移転する事が可能になります。しかしながら、移転するリスクは金銭的リスクであり、実際にサイバー攻撃を受けて情報漏洩等を起こした事実は消すことができませんので、リスクを移転したからと言って安心する事はできません。

りすくの移転の別の方法としてアウトソースがあります。つまり、影響度の大きい部分を他社に任せる事によってリスクを保持しない方法です。例えば、セキュリティインシデント対応を外部にアウトソースしている企業があります。これはリスクの移転ともいえます。つまり、セキュリティインシデント自体は発生頻度は少ないが、いざ発生した際の影響度は大きいので、外部のプロフェッショナルに依頼する事が最善であるパターンです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

レッドチーム(Red Team)とブルーチーム(Blue Team) 図解サイバーセキュリティ用語

最近、レッドチーム演習というサービスが流行っています。いくつかのセキュリティ専門ベンダーやコンサルタント会社が企業にたいしてレッドチーム演習を提供していることが、IT系のWebメディアで伝えられていま …

クロスサイトリクエストフォージェリ (CSRF) 図解サイバーセキュリティ用語

クロスサイトリクエストフォージェリ (CSRF)は、一般ユーザが知らない間にサイバー攻撃に加担してしまう事で、攻撃者がターゲットに対して間接的に攻撃を行う事ができます。クロスサイトリクエストフォージェ …

Miraiとは? 大規模なDDoSを発生させる、IoTをターゲットとしたマルウェア 図解サイバーセキュリティ用語

2016年10月に米Dyn社のDNSサービスをターゲットとしたDDoS攻撃が発生しました。このDDoS攻撃ではなんと何千万という端末から1.2テラバイト/秒のデータがDyn社のDNSサーバに送信された …

タイポスクワッティングとは?

タイポスクワッティングとは、ユーザがWebブラウザにURLを入力する際の打ち間違いを利用して、ユーザを悪意のあるWebサイトに誘導する手法の事を言います。タイポスクワッティングは英語でtyposqua …

レインボーテーブル(Rainbow Table)とは

レインボーテーブルとは、パスワードを解析するための総当たり攻撃を高速化するために、すべてのパスワード候補(文字列)に対するハッシュ値をあらかじめ計算して表にしたものです。このレインボーテーブルはパスワ …