ベンチャー企業こそ脅威ベースのセキュリティ対策を行うべき理由

SHARE

目次

ベンチャー企業のサイバーセキュリティ対策の重要性

Netflixをはじめとするサブスクリプション型のビジネスが徐々に浸透し、Consumer領域だけでなく、Business領域でのSaaSの利用も当たり前となった。

野心のある優秀な若手は、こぞって社会の課題解決のため、あるいはIPOによる一攫千金のために寝る間を惜しんで新しいサービスの開発に勤しんでいる。

そしてこれらのサービスの多くは、安定的な収益の確保が可能となるサブスクリプション型のビジネスを手掛けていることが多く、ほとんどの場合は有用なデータ収集や提供、処理を対象とするサービスを提供している。したがって企業が管理している「情報資産」は必然的に彼らの商売道具となり、これらが棄損した場合の影響は計り知れない。

参考
826万人の在職者情報を管理する「社労夢」のランサムウェア事件から思うこと
セキスタ

以前このような記事を投稿したが、残念ながら定期的に情報漏洩事案が発生しており、そのたびに企業は大きなダメージを受けている。

参考
社労士向けクラウド「社労夢」障害、発生からまもなく1カ月 6月料金請求なしで売上高予想32億円→未定に
ITmedia NEWS

どうやら本事案では、サービス利用ができなかった6月の料金請求を行わないことにより32億円の売上が不透明となってしまったようである。これから発生しうる訴訟や、第三者委員会などの設立、公表に関する費用などを総計すると、被害額はさらに大きくなることは避けられないだろう。

また、このような事件を起こしてしまった社会的信頼の失墜と相まって、企業への影響は甚大である。

ベンチャー企業が安定的収益を獲得する手段としてのサブスクリプション型のビジネスを営むのであれば、このような大事件を引き起こさない、引き起こされたとしても被害が最小化される仕組みを検討しておくことは最重要課題の一つとなる。

旧来型のアプローチとベンチャー企業の悩み

ベンチャー企業が収益を第一に確保しなければ会社がそもそも存続できない可能性があることを考慮すれば、彼らが情報セキュリティに対する対応が遅れていたとしてもある種やむをえない側面もある。しかし、仮にセキュリティ対策に踏み切ろうとしていたとしてもベンチャー企業を悩ます共通的な問題がある。

想像に難くないが、圧倒的なリソースの不足である。

旧来型の、そして未だに有効な情報セキュリティのアプローチは、ベースラインアプローチまたはコンプライアンス型アプローチとも呼ばれるアプローチである。

情報セキュリティリスクの考え方

ISO27000:2018によれば、情報セキュリティリスクとは、「脅威が情報資産の持つ脆弱性の悪用により組織に悪影響を及ぼす可能性」と定義されているが、ベースラインアプローチは「脆弱性」に着眼したアプローチである。

このアプローチでは、NISTやISO、あるいはCIS Controlsかもしれないが、企業が選んだ何らかの基準に基づいて、脆弱性(理想と現状のGap)が潰せているかということを確認していく。

そのため、何かの対策が漏れることによりその脆弱性を利用されて攻撃されてしまうことを防ぐことはできるものの、チェックに大きな工数がかかることでベンチャー企業の頭を悩ませるのである。

そもそも脆弱性とは、

「人」への教育が行き届いていないことにより、想定外の行動を起こすことによって発生しうるうえ、

「プロセス」が整備されていないことにより業務に介在し、

「技術」的対応が図られないことにより抱え込んでしまうものである。

これらをすべての観点から対応することは上述のリソースの観点から難しいため、ベンチャー企業は別の対応を考えなければならないのである。

脅威ベースのセキュリティ対策の効果

脅威インテリジェンスの教科書」によれば、情報セキュリティリスクの構成要素である脅威とは「意図」「機会」「能力」により構成されている。

ベンチャー企業が大量の個人情報や、機密情報を抱えている場合、悪事をたくらむハッカーにとっては格好の餌食である。そのため、ハッカー側に攻撃の「意図」があり、彼らは十分に「能力」があることから、企業側でコントロール可能なのは「機会」を抑制することである。

ベースラインアプローチでは、「脆弱性」をいかにつぶすか、ということばかりに目がいきがちになる。できていない対策があったとして、何とかしてそれを実施するという行動を起こしかねない。

日常生活でたとえてみれば、数年に一度も雨の降らない国で、毎日折りたたみ傘を持っていることを確認しているのと同じようなものである。ベースライン(チェックリスト)型のアプローチは、それが適している環境であるときにはじめて意味がある。

一方の脅威ベースのアプローチは、より攻撃者の目線に立った分析を必要とするアプローチである。つまり、自社が抱え、管理している情報資産を冷静に見つめなおしたうえで、その資産を盗んだり、破壊したりするというシナリオをまず第一に優先して対応し、それ以外の優先度を下げるというアプローチだ。リソースが不足しているベンチャー企業にとっては、より効果的なアプローチとなりうる。

今回は脅威インテリジェンスの前に、脅威ベースのアプローチの有用性について記載した。次回以降で脅威インテリジェンスについても触れてみようと思う。

脅威インテリジェンスの教科書 [ 石川朝久 ]
created by Rinker

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

ChatGPTは企業の実務に使えるのか?

次の記事

[理論編]東大式、ITパスポートの勉強方法