2024年2月7日

NECサイバーセキュリティ戦略統括部　セキュリティ技術センターの浅原です。
今週のセキュリティブログでは、セキュリティ対策におけるリスク受容について考えるとともに、NECの取り組みをご紹介します。

目次

セキュリティ対策の前提

セキュリティはビジネスのサポート役です。一般に企業の目標はビジネスの継続であり、利益の最大化です。この目標達成においてIT活用は不可欠であり、セキュリティがIT活用を妨げてはなりません そのため、セキュリティ対策費用はセキュリティインシデントの被害額に比べて小さくなる必要があります。部分的なセキュリティ対応では情報資産を守り切れない場合が多いですが、同時に、過剰なセキュリティ対策は避けるべきです。そのため、コストパフォーマンスの高い、適切なセキュリティ対策を選択する必要があります。

リスクとは

適切なセキュリティ対策を検討するためには、リスクとは何かを考える必要があります。ISO 27000：2018／JIS Q 27000：2019において、リスクとは「目的に対する不確かさの影響」と定義しています。このリスクを見積り、低減していくために、リスクアセスメントが行われます。リスクアセスメントでは、

と3つのプロセスでリスクを整理します。その結果を基に、リスクに対処するための選択肢を選定し，実施することがリスク対応です。

リスク対応の選択肢

リスク対応の選択肢を発生可能性と影響度の観点から簡略的に考えると、下記4つとなります。

今回は4つ目のリスク受容について考えていきます。

「リスク受容＝何もしない」ではない

ISO 27000：2018／JIS Q 27000：2019において、リスク受容は「ある特定のリスクをとるという情報に基づいた意思決定」と定義されています。勘違いされやすい点として、リスク受容は何もしないわけではありません。リスクに対するセキュリティ実装は行われないものの、「意思決定」が行われます。また、この「意思決定」は関係者合意が行われ、記録が残らなければ適切とは言えません。
例として、リスク受容したリスクに関してセキュリティインシデントが発生してしまった場合を考えます。社内外問わず、いつ、なぜ、誰がリスク受容を判断し、それを誰と合意したかが記録されていない場合、説明責任を果たせなくなるだけではなく、復旧や追加対策のための検討・調整・合意・対応を行うためにより多くの時間と労力を要してしまうことが考えられます。このような最悪の状態を避け、事業やサービスの再開を迅速に行うためにも、意思決定の経過及び結果を記録しておくことが、リスク受容において重要となります。

「リスク受容」を整理する2つの観点

一般的には、リスク受容について、大きく2つの観点で整理します。

リスク受容を2つの観点で整理しますが、それを組織の「意思決定」として記録することや、それが適切な「意思決定」であるか確認するには当然作業時間が掛かります。そのため、効率良く行う必要があります。海底から宇宙まで幅広く製品・システム・サービスをご提供するNECが「リスク受容」以外のリスク対応含め、各セキュリティ対策をどのように効率的に記録、管理しているか、ご紹介します。

NECにおけるセキュリティ対策の記録と管理・監視

NECではセキュリティを確保する「セキュリティ・バイ・デザイン(SBD)」の思想に基づき、企画・提案フェーズから実装フェーズ、運用・保守フェーズまで含めたセキュリティ実装を行っています。製品・システム・サービスの開発では、セキュリティ対策項目を網羅的にまとめたチェックリストを作成し活用しています。また、各プロジェクトのチェックリストを一元管理し可視化するための「セキュリティ実装点検システム」を社内システムとして開発し、これにチェックリストの内容を登録することで、セキュリティ対策状況の効率的な点検・監視を実施しております。
リスク受容のみならず、他のリスク対応や、そもそもリスク特定の段階でリスクではないと判断した内容についてもこの「セキュリティ実装点検システム」を活用することで、網羅的な確認と記録、一元管理、可視化を実現しています。リスク受容においても重要となる、「意思決定」の記録も効率的に実施しております。

まとめ

今回は「リスク受容」について考えるとともに、NECの取り組みをご紹介しました。本ブログをきっかけに、今まで「リスク受容＝何もしない」であったセキュリティ対策が改善され、「安全」「安心」な社会に寄与することを願っています。

執筆者の他の記事を読む