アウトカムベースセキュリティとは?
※F-Secureの法人向け事業はWithSecure™になりました。個人ユーザー向けの事業が引き続きF-Secureとして展開しております。移行期のため、F-Secure BlogでWithSecure™のご案内をさせていただいております。
サイバーセキュリティ関連の業務は、一般的にはその組織の制約として捉えられることが多いと思います。面倒だけど仕方なくやらなければならないコストであり、できることならそこに割く時間や費用は抑えたいと考え、リスクを甘くみつもってしまうことも珍しくありません。
こうした考え方が組織の文化になっていると、実際の攻撃を受けてしまったときに被害が大きくなり、立ち直ることが難しくなることも珍しくありません。
こうした問題を防ぐには、より組織の成長や成果を出すという観点からサイバーセキュリティをとらえなおしてみる、という考え方が重要になります。弊社は新社名発表後に実施した初の大型イベントであるSPHERE22で、このような成果(アウトカム)に着目したセキュリティを講演のテーマとしました。
セキュリティを考えるとき、これまでは脅威(スレット)ベースで考えることが主流でした。つまり世の中のサイバー攻撃者がどのような攻撃方法を持っていて、それにどのような対策を立てるか、という考え方です。この考え方では、セキュリティーチームは自社に起きうる問題にどのようなものがあるかを理解し、活用することが求められます。
しかし自社に対してどのような攻撃が起きるかを考えるように言われると、一覧化まではできても、なにを優先するかはかなり判断が大変だと思います。
そこでもう少しレベルの高いアプローチとして、資産(アセット)ベースで考えることが増えてきました。この考え方では、組織が所有する資産を調べ、予測、検知、対応、復旧の各段階でどのように保護するかを検討します。
しかし、これは資産が失われるかどうかが焦点になりやすく、たとえば一部のランサムウェアのように資産への侵害を悪用してさらに大きな被害をもたらす攻撃は考えにくくなります。また、資産ごとの価値や攻撃の可能性をどのように考えるかにおいては、やはり検討されにくい傾向があります。
そこでさらにレベルの高い対策方針として、リスクベースのアプローチが出てきました。ビジネスや組織へのリスクがどの程度あるかを考えるこの方針は、成熟した組織の多くが採用しています。
これをさらに進めた考え方として、弊社が提案するのは成果に焦点を当てたアプローチです。ここでいう成果とはビジネス上のものを指します。リスク、アセット、脅威というアプローチはそのままで、例えば企業が効率化という成果を達成した場合、リスクは何か、そのリスクの背景にあるものは何か、資産とは何か、その背景にあるものは何かを見ていくということです。
例えばウェブサイトを構築することで、そのサイトを利用した収益を検討しているとします。その際、サイトが正常稼働していることが利益を出すことに直結します。つまり、できるだけ繋がらなかったり遅延したりしないようにすることが成果につながります。
そのような場合、リスクはサイトのダウンや信用の低下による損失となります。資産はサイト自身や顧客の保管したデータや認証情報などが相当します。脅威はそのサイトに対するDDoS攻撃などがあたります。
このように考えることで、組織の経営陣が組織としてのサイバーセキュリティの目的を理解することができるようになります。私たちが働いている様々な組織は、デジタルサプライチェーンにより相互に結びついているため、成果から考えるような文化を作ることは、全員がより安全な未来を手に入れることにもつながります。
地域の安全を確保する警察のような組織であれば、その地域ごとに管轄がありますが、サイバー攻撃者は国境を越え、高度な技術を駆使して、様々な被害をもたらします。このような問題が主流となっている現代では、組織が攻撃手法や保護対象を整理しようとしても、時間も限られ、なかなかうまくはいきません。そこで、まずは自身が求める成果を理解し、その成果の達成をサポートするためのサイバーセキュリティ対策に注力する、という順序で優先付けをしていく必要があります。組織全体に本当に求められる戦略は、こうした視点から生まれると言えるでしょう。
こうした視点を持つことにより、組織はサイバー攻撃のリスクに晒されることを適切に管理できるようになります。自社に関連する脅威に対処するためのセキュリティ戦略を適切に策定し、効果的に実行し、成長しながらも回復力(レジリエンス)を維持できるようになるのです。
最後とはなりますが、こうした優れたセキュリティを維持するにはパートナーシップの存在が不可欠です。サイバーセキュリティの課題がございましたら、是非弊社までご相談ください。ウィズセキュアは革新的な新技術の採用、新市場への参入、他の組織との新たなパートナーシップの確立などの様々な成長を妨げることなく、お客様を支援します。
ウィズセキュア株式会社
〒105-0004 東京都港区新橋2丁目2番9号 KDX新橋ビル2階
Tel: 03-4578-7710 / E-mail : japan@f-secure.co.jp
https://www.withsecure.com/
カテゴリ