企業法務フルサポートMEDIA

企業法務フルサポート 本サイトへ

メールマガジンに登録する

デジタルビジネスが直面している経営リスク

企業によるサービスを始め、今や世界の大部分がデジタル技術を活用した画期的で有用なサービスに支えられているといっても過言ではありません。一方で、その急速な技術の進化は、未知の脅威や脆弱性の顕在化との直面することになっています。

現在、デジタルビジネスが直面しているリスクには、大きく分ければ

などが挙げられますが、その内容は多様化の一途をたどっています。

仮にこれらのリスクに対して対応することができず、ツールの利用者に被害が及んでしまった場合、そのシステムやシステムを提供していた企業が社会的な信用を回復するには相当のコストと時間を要する、または不可能でしょう。経営の根幹を揺るがすリスクと言えます。
こうした、デジタル技術を取り巻く潮流を踏まえ、デジタルビジネスを支えるためのセキュリティ対策は、根本的かつ本質的な改革を迫られています。

デジタル時代のセキュリティの在り方

急速なデジタル化の波を乗りこなすセキュリティ対策のコンセプトは、徹底したセキュリティファーストです。

従来のセキュリティ対策といえば、サービスやシステムが完成してしまってからセキュリティ製品を後付けするという形が一般的でしたが、デジタル技術の進歩とともに「シフトレフト」……つまり、システム開発の上流工程でセキュリティ要件を検討する形へと大分変化してきました。具体的には、『デジタルサービスの企画段階から、サービス企画担当とセキュリティ専門家が協力して、想定するサービスモデルに即した脅威について分析する』という取り組みです。

しかし現在は、この取り組みを更に一段階引き上げ、システム企画という最上流工程でのセキュリティ要件の検討が求められるようになっています。様々な面において、結果的に時間とコストの無駄を省くという目的からも、今後はシステムや組織体制そのものに脅威耐性や回復性を組み込むことが肝要といえます。

システム企画段階のリスク分析

ただ、今後は開発の初段階からセキュリティ要件を検討するべき、と一口に言っても、実際に何をすべきなのでしょうか。
サイバー空間における攻撃者は、それぞれがある動機や目的のもと、様々なシナリオにおいて、多様な手法で攻撃を仕掛けてきます。これに対抗するために必要な視点は2つ、簡潔に言えば「自分」「攻撃者」それぞれの視点です。

まず、「自分」の視点とは自分を十分に知ること、つまり自身のシステムやサービスの全体像を把握し、その特性や弱点を知ることです。これを行う事で、どのようなポイントが攻撃者に狙われやすいのか・最優先に守るべきコアサービスはどこなのかを把握し、システムを構築していくことができます。
そのうえで次に「攻撃者」の視点を持つこと、つまり攻撃者の立場に立って客観的に自身のサービスやシステムを俯瞰するということです。これによって、単純なシステム上の脆弱性は勿論のこと、攻撃者が自身のシステムに対して、サービスのどの段階どのような目的をもって攻撃してくるのかという予想を立てることができます。

これらを正しく行う事ができれば、あとは2つの視点を組み合わせることで、おのずと起こり得る攻撃の全体像を把握することが可能になります。それを踏まえて、生じると考えられる損害の度合いによって、どのような対策を講じるのかという方向性を決定することができ、具体的なシステム構築へと着手できるのです。

残念ながら現状としては、サービス要件を決定する段階においても攻撃者の目的や手法の徹底推測、それを踏まえたサービスに起こりうる脅威の把握ができておらず、十分なセキュリティ検討がなされていない場合が多く見られます。場合によっては、類似サービスを提供する他者が被害を受けた事例すら把握されていないケースもあり、お粗末と言わざるをえません。
以下には、「自分」と「攻撃者」の視点で行うリスク分析の具体的なプロセスをまとめます。

リスク分析

Ⅰ サービス分析(「自分」の視点)
Ⅱ アタック分析(「攻撃者」の視点)
Ⅲ スレット・ケース分析
Ⅳ インパクト分析

分析サービスの例

2019年8月8日、NRIセキュアテクノロジーズ株式会社は、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクの洗い出しとそれに対する対策の立案を支援する「デジタルサービス向けリスク分析支援」の提供を開始しています。

サービス紹介を行う同社HPでは、DX時代の「コアビジネスのデジタル化」により生み出されるサービスのビジネスモデルや業務プロセスの複雑性と、ここまで本記事で述べてきたように、より早い段階でのリスク分析の有効性についてが書かれています。提供されているサービスは、まさにサービス・リスク分析そのものといっても良いでしょう。例えば、以下のようなサービスが提供されているようです。


1.サービス仕様・ビジネスモデルの把握と脅威の洗い出し
2.ユースケース(ユーザーの利用事例)に基づく脅威の洗い出し
3.脅威シナリオに対する対応策の立案・提示

サービス・リスク分析は、手順や方法が分かったとしても、実際に導入しかつ抜け漏れなく行うことは難しいと言わざるを得ません。要する人員の合理的な節約や、システム開発に着手することができるまでにかかる時間、また分析に活用することができる情報量、対応策のノウハウ等を考えると、情報セキュリティ業務を専門とするNRIセキュアテクノロジーズのような企業の提供する分析サービスを利用するメリットはそれなりに大きいと言えるのではないでしょうか。

セキュリティ要員の拡張

 現在、サイバー攻撃が猛威を振るっていることを受けて、企業内ではセキュリティ対策のチームとして「CSIRT (シーサート: Computer Security Incident Response Team)」の設置が普及しています。今後のセキュリティ対策では前述のサービス・リスク分析が非常に重要でありますので、CSIRTがそのような分析を行うことになるでしょう。
しかし、ここで問題となるのがCSIRTは一般的に、情報システム部門を母体とするチームであるということです。サービス・リスク分析を効果的に行うためには、自社の提供サービスや業務を把握していることが絶対条件といっても過言ではありませんが、情報システムの技術を専門とする者が業務上の具体的なサービス内容までを把握しているとは考えづらいでしょう。よって、CSIRTのみにセキュリティ対策を行わせることは適当ではありません。

事業部門内でのSSIRTの提唱

そこで、具体的なサービスに基づく分析を補完する組織として提案されているのが「SSIRT(Service Security Incident Readiness & Response Team)」です。SSIRTは、事業部門内でサービスレイヤーのセキュリティ全般を統括するチームと定義されており、事業密着型のSIRT機能になっています。事業部門としてサービス内容についても十分に把握可能であるため、サービス・リスク分析において自社のサービスレイヤーに根ざした具体的な脅威を想定することができる点がCSIRTと異なり、「セキュリティ・バイ・ビジネスデザイン」の中核を担うことが期待されます。
更に、SSIRTの役割は企画段階にとどまりません。なぜなら、システム企画に伴い分析し作成した脅威モデルは日々変化を続けているからです。システムセキュリティは、関わる外部サービスの変化や攻撃手法そのものの進化に大きく左右されます。リリース段階では高いセキュリティレベルを備えていたシステムにも、1秒後には重大な脆弱性が生まれてしまう可能性も否定できません。このように、サービスを提供し続ける限り、脅威に対する分析とセキュリティのブラッシュアップは不可欠であり、SSIRTは半永久的にその役割を遂行し続けることになるのです。


サービスの前提にセキュリティを組み込むことが求められる今、「セキュリティは難しいソースコードの分かるエンジニアのような専門家に任せておけばよい」という考えは改めなくてはなりません。企業には、全関係者のセキュリティ対策に対する意識の底上げが求められています。

DX時代にこそ見落としてはならないユーザー保護の視点

一般的に情報セキュリティというと、企業を主語にしたシステムの保全が真っ先に上がります。勿論それも重要ですが、DX時代にはそれに加えて「ユーザー保護」という視点を持たなくてはいけません。
顧客第一という気持ちで日々業務にあたっている企業において、ユーザー保護の視線など根付いていると考えるでしょうが、情報セキュリティという分野においてそれが浸透しているか否かはまた別の問題として捉えなくてはならない場合があります。この浸透度をチェックするにあたって有用な手法に「デジタルフォレンジックトレーニング」があります。

デジタルフォレンジックとは、サイバー攻撃に対しコンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称です。
サイバー攻撃を受けないための分析や防御システム構築を、可能な限り最大限行ったとしても、サイバー攻撃を受けてしまう可能性をゼロにすることは不可能です。実際に、セキュリティインシデントやサイバー攻撃に遭遇してしまった際には、被害状況の把握・攻撃手法の特定・証拠保全・対処の優先順位の判断など、様々な事項を迅速に行わなくてはなりません。大手情報セキュリティ専門企業を始め複数の企業団体は、これを訓練するためにサイバー攻撃を受けた環境を前提として、その対応を行う実践型の研修を提供しています。

そこで、この研修を行うと、大半の受講者が陥る問題の状況があるといいます。受講者は、攻撃を受けたシステムを前にするとシステムログなどを洗い出し、原因やシステムの脆弱性の特定、その部分に対する技術的な対処を検討する作業に没頭します。そして、個人情報などの情報漏えいが相当に濃厚な段階になっても「サービスを止める」という判断に至らないのです。これこそまさに、ユーザー保護の視点の欠如と言えるでしょう。
デジタルビジネスにおいては、従来以上にユーザー保護を第一に考えることを徹底しなくてはなりません。先の例でいえば「サービスを一時的に止めてでも、現状以上の情報漏えいを防ぐ」という判断を早い段階で下せるようにするということです。DX時代が続いていくには、ユーザーがデジタルシステムやセキュリティについて危険性を含めた理解を深めると同時に、企業もユーザーの安心・安全に重きを置かなくてはならないということを肝に銘じなくてはなりません。

経営におけるサイバーセキュリティの位置付け

デジタル技術の発展によって、業界・業種を超えた競争力を備える新規参入企業が見られるようになりました。この変化に伴い、既存の企業においても、望むか否かに関わらずコアビジネスのデジタル化を図り変革の波に乗り続けなければ、事業の競争力を維持できない時代になりつつあります。

このような流れの中で大きく変化したことの一つが、経営におけるセキュリティ投資の位置付けです。以前は、売り上げに直結するものではないコストとして捉えられていましたが、「コアビジネスのデジタル化」によりITが事業の一要素となったことで、それに関わる投資は純粋なコストから「経営リスク」への投資に変化したのです。

「経営リスク」と表現したのは、セキュリティ事故への対応が企業ブランドや株価に影響を及ぼし始めているからです。今後は株式市場において、サイバーセキュリティが、株価の貢献要素・企業ブランド価値の構成要素の重要な指標となっていきます。
以上を踏まえ、セキュリティ関連事項を「経営リスク」としてあらかじめ認識し、「セキュリティ投資」は減価償却費とするのか、あるいはインシデントが発生時に巨額の特別損失を計上するのか。インシデント発生時には、金銭的な損失だけでなく企業ブランドや社会的信用という数値化できない重大な損失も生じるということも加味したうえで、未来ある企業の経営陣には賢明かつ慎重な判断を期待します。

メールマガジンに登録する

この記事を読んだ方は
こんな記事も読んでいます