UAE
UAE
「自社のセキュリティ対策は、本当に十分なのだろうか?」「アンチウイルスソフトは導入しているが、どこかに見落としている弱点はないだろうか?」企業のIT担当者であればこのような漠然とした不安を常に抱えているのではないでしょうか。サイバー攻撃が巧妙化・高度化する現代において、個別の対策を場当たり的に行うだけでは企業の情報資産を完全に守りきることは困難です。
そこで重要になるのが、自社のセキュリティ体制を客観的かつ網羅的に評価し、潜在的なリスクを可視化する「セキュリティアセスメント」です。
この記事では、セキュリティアセスメントとは何か、その目的から具体的な進め方、評価項目までを分かりやすく解説します。効果的なセキュリティ対策の第一歩として、ぜひ参考にしてください。
セキュリティアセスメントとは、企業や組織のセキュリティポリシー、体制、教育、情報資産、委託先に対する様々なリスクを識別・分析・評価し、現在のセキュリティ対策が有効に機能しているかを客観的に判断する一連のプロセスです。
セキュリティアセスメントは、人間ドックのような「企業のセキュリティに関する健康診断」と考えると分かりやすいでしょう。
健康診断が自覚症状のない病気の兆候を発見し、生活習慣の改善に繋げることを目的とするように、セキュリティアセスメントも、まだ表面化していないセキュリティ上の弱点(脆弱性)や潜在的なリスクを発見し、どこに、どのような対策を講じるべきかを明確にすることを目的としています。
では、なぜ多くの企業にとってセキュリティアセスメントが不可欠なのでしょうか。その理由は大きく3つあります。
日々の運用に追われていると、自社のセキュリティ対策を客観的に見直す機会はなかなかありません。アセスメントを実施することで、専門家の第三者視点や体系的なフレームワークを用いて、自社では気づけなかった設定の不備や新たな脅威に対する対策の抜け漏れを網羅的に洗い出すことができます。
セキュリティ対策には無限にコストをかけることができますが、企業の予算は有限です。アセスメントによって、リスクの大きさ(発生可能性と影響度)を客観的に評価することで、「どこに最も大きなリスクが潜んでいるのか」が明確になります。これにより、限られた予算を対策効果の高い領域に優先的に投資できるようになります。
アセスメントの結果は、自社のセキュリティレベルを客観的な指標で示す信頼性の高いレポートとなります。これにより、経営層に対してなぜ特定のセキュリティ投資が必要なのかを論理的に説明し、予算を獲得しやすくなります。また、サプライチェーン全体のセキュリティが問われる現代において、取引先に対して自社のセキュリティ体制を証明する上でも、アセスメントは有効な手段となります。
セキュリティアセスメントと共によく使われる言葉に、「リスクアセスメント」と「脆弱性診断」があります。それぞれの違いを整理しておきましょう。
| 用語 | 目的と範囲 |
|---|---|
セキュリティアセスメント |
組織全体のセキュリティ対策の状況を網羅的・体系的に評価するプロセス。 |
リスクアセスメント |
セキュリティアセスメントの一部。情報資産に対するリスクを「特定」「分析」「評価」することに特化した活動。 |
脆弱性診断 |
Webアプリケーションやネットワーク機器に、既知の「技術的な脆弱性」が存在しないかを診断ツールなどでスキャンする具体的なテスト。 |
簡単に言えば、セキュリティアセスメントという大きな枠組みの中にリスクアセスメントというプロセスが含まれており、さらにそのリスクを分析する具体的な手法の一つとして脆弱性診断が存在する、という関係性です。
セキュリティアセスメントでは、技術的な側面だけでなく、組織の体制やルールといった多角的な視点から評価を行います。一般的に以下の3つの観点からチェックされます。
サーバー室への入退室管理、監視カメラの設置、施錠管理、防災設備など、情報資産を物理的な脅威(盗難、災害など)から守るための対策が評価対象です。
ファイアウォールやアンチウイルスソフトの導入状況、アクセス制御の仕組み、データの暗号化、ネットワークの監視体制など、サイバー攻撃などの技術的な脅威から守るための対策を評価します。
情報セキュリティポリシーの策定状況、従業員へのセキュリティ教育の実施、インシデント発生時の対応体制(CSIRTなど)、委託先の管理体制といった、組織としてのルールや体制面を評価します。
セキュリティアセスメントは一般的に以下の5つのステップで進められます。
まず「何を」「どこまで」評価するのかを明確に定義します。「全社のITインフラ」を対象とするのか、あるいは「新しく導入する会計システム」に限定するのか、アセスメントの目的と予算に応じて対象と範囲を決定します。
評価対象範囲内に存在する情報資産(顧客情報データベース、財務データ、サーバー、ネットワーク機器など)をすべてリストアップします。そして、それぞれの情報資産を、その重要度(機密性、完全性、可用性)に応じて分類します。
洗い出した情報資産それぞれに対して、どのような脅威(不正アクセス、マルウェア感染、紛失など)が存在し、どのような脆弱性(OSのバージョンが古い、パスワードが単純など)があるかを特定します。
特定したリスクが、実際に発生した場合にビジネスに与える「影響度」と、そのリスクが起こりうる「発生可能性」をマトリックスなどで分析し、各リスクの優先順位(高・中・低など)を決定します。
評価結果に基づき、「高」と判断されたリスクから優先的に具体的な対応策を検討します。対応策には、「リスクの低減(セキュリティ対策の導入)」「リスクの保有(リスクを許容する)」「リスクの回避(リスクの原因となる活動を停止する)」「リスクの移転(サイバー保険への加入など)」の4つの選択肢があります。
セキュリティアセスメントを自己流で行うのは困難です。国内外の専門機関が、信頼性の高い評価基準として、様々なフレームワークやガイドラインを公開しています。これらを活用することで、網羅的で客観的な評価が可能になります。
| フレームワーク名 | 発行元 | 特徴 |
|---|---|---|
| NIST CSF | 米国国立標準技術研究所(NIST) | 「統治」「特定」「防御」「検知」「対応」「復旧」の6つの機能で構成される、国際的な標準フレームワーク。 |
| CIS Controls | Center for Internet Security(CIS) | 実際の攻撃で悪用される手口を分析し、優先的に取り組むべき18の対策項目を具体的に提示。 |
| 情報セキュリティ管理基準 | 経済産業省 | ISMS(情報セキュリティマネジメントシステム)の要求事項を具体化した、国内向けの基準。 |
セキュリティアセスメントは、一度実施して終わりではありません。ビジネス環境やサイバー攻撃の手口は常に変化するため、自社のセキュリティリスクも変動します。
重要なのは、定期的にアセスメントを実施し、自社のセキュリティ体制を継続的に見直し、改善していくPDCAサイクルを回すことです。客観的な評価に基づいた計画的なセキュリティ対策こそが、変化の激しい時代において企業の持続的な成長を支える土台となるでしょう。
セキュリティアセスメントの重要性は理解できても、自社のリソースだけで客観的かつ網羅的な評価を実施するのは容易ではありません。専門家の第三者視点を活用することが、効果的なリスク対策の第一歩です。
KDDIでは、お客さまのシステムに潜む脆弱性を専門家が診断・評価する「セキュリティアセスメントサービス」を提供しております。国際標準のフレームワークに基づいた評価で、貴社のセキュリティリスクを可視化し、具体的な改善策をご提案します。詳細は下記よりご確認ください。
グローバル拠点のセキュリティ&ガバナンス強化
KDDIのコンサルタントへのご相談・お見積りはこちらから
あなたのお悩みに最適な解決策は?
KDDIのコンサルタントにご相談ください
