連載
» 2017年11月21日 10時00分 公開

セキュリティ対策費を確保するならリスクベースで語れセキュリティ強化塾(3/4 ページ)

[キーマンズネット]

それでは最大のサイバーリスクって何?

 「リスクの文脈」で話すこと。それが十分な予算を確保するために必要なものだ。そのリスクの変数として、どのようなものがあるのだろうか。

 ウォーリー氏は米ベライゾンが提示する「サイバーリスク10のパターン」を例に挙げる。攻撃ベクトルには10のパターンがあり、これを基にして自社がどのパターンに対策すべきであるかを考えることができる。多くの企業に共通する10のパターンとは以下のようなものだ。

  • クライムウェア
  • サイバー諜報
  • DoS攻撃
  • 内部犯行
  • さまざまなエラー
  • クレジットカード(支払カード)のスキミング
  • POS端末への攻撃
  • 物理的なデバイス窃盗
  • Webアプリケーションへの攻撃
  • その他

 例えば、教育分野ではサイバー諜報やエラー、その他のパターンがほとんどを占める。一方で、金融分野をみるとDoS攻撃やクレジットカードスキミング、Webアプリケーションへの攻撃などが攻撃のほとんどを占める。また、中にはインパクトが低いパターンもあり、業種によっては例えWebサイトが攻撃され侵略されたとしても、知的財産の奪取までには至らないものもあるだろう。

 Webサイトへの攻撃はインシデントの許容度が高い場合が多いが、インシデント許容度が低い「情報漏えい」「金融詐欺」「知財窃盗」「ランサムウェア」などに対しては対策が必要な場所になるだろう。まずは自社がこれらのサイバーリスクのうち、どのパターンのサイバーリスクに気を付けるべきかを判断することが重要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。