2024年10月4日、金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン(以下、本ガイドライン)」は前回の記事で述べたとおり、リスクベースのアプローチと経営の関与が大きな特徴ですが、今回はリスク分析手法について取り上げます。
1.リスクの特定・評価
リスクの特定・評価について、本ガイドラインでは以下の記述となっています。
2.2.2.2. リスクの特定・評価
【基本的な対応事項】
①サイバーセキュリティリスクの特定・評価に係る手順を定めること。
②脅威情報及び脆弱性情報を踏まえたサイバー攻撃の発生可能性、並びにサイバー攻撃が発生した場合の自組織の事業や情報資産に与える影響に基づき、サイバーセキュリティリスクを少なくとも1年に1回評価すること。また、重大な脅威や脆弱性が判明した時や、新規商品又はサービスの提供時にも評価すること。
③リスク評価に当たっては、境界防御型セキュリティが突破されるリスクや内部不正などの脅威も考慮し、内部ネットワークセグメントに設置したシステムへのリスクも対象とすること。
【対応が望ましい事項】
a.リスク評価に当たっては、重要な業務を特定し、重要な業務を継続するために必要な組織内の人員、設備、システム、サードパーティの相互依存度を考慮すること。
b.リスク評価に当たっては、シナリオ分析、机上演習又はストレステスト等を通じて、組織における脆弱性を特定し、重要なシステム及び業務に対する潜在的な影響を考慮すること。シナリオについては、深刻だが現実に起こりうる多様なシナリオを考慮すること。
出典:金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」
2.2.2.1.① に書かれている通り、具体的な手法等については各金融機関に委ねられています。特定の手法を定めてしまうと金融機関によっては過大な内容になりかねないという考慮があったのだと推測しますが、フリーハンドすぎて戸惑っている金融機関もあるのではないでしょうか。
2.リスク分析の手法
日本の企業・組織において、サイバーセキュリティリスク関するリスク評価というと、ベースラインアプローチを思い浮かべる人が多いのではないでしょうか。これは既存の標準や基準をもとに実施すべきセキュリティ対策を定め、システム毎に対策の充足状況をチェックする方法です。わかりやすく言うとチェックリスト方式です。この方法は以下のメリットがあります。
1.既存の基準からチェックリストが作成できるため、比較的容易に実施可能
2.自社の水準が把握できる(ただし、概観レベル)
しかしながら、未実施の対応項目について、どの項目を優先的に実施するのかという判断基準を得ることができなかったり、事業被害を起こさない裏付けにはならなかったりします。例えば、システムやデータのバックアップですが、ベースラインアプローチだと「バックアップを定期的に取得している」というチェックになるのではないでしょうか。昨今のランサムウェア攻撃を考えると、重要なシステムは破壊されない方式でのバックアップが必要ですが、そのようなシステムの重要性や個別の攻撃手口を勘案した評価はベースラインアプローチでは難しいのです。そのため、実際に起こりうるサイバー攻撃のシナリオを想定し、シナリオごとに発生した際の影響度と発生可能性を評価するシナリオベースのリスク分析を取り入れる企業・組織が増えています。以下にシナリオベースのリスク分析の簡単な例を掲載します。例を見るとイメージが湧くのではないでしょうか。
<シナリオベースのリスク分析の例>
本ガイドラインの2.2.2.1.a、2.2.2.1.b を読むと、本ガイドラインもシナリオベースのリスク分析を想定して書いているように思えます。
3.シナリオベースのリスク分析
シナリオベースのリスク分析は、実際に起こりうるシナリオを作成し、シナリオごとに発生した際の影響度と発生可能性を評価する手法です。そのため、実際に起こりうるサイバー攻撃のシナリオを作成することがスタートです。そのシナリオ作りですが、重要インフラ事業者である金融機関においては、重要な業務を継続するという観点が重要です。簡単にまとめると以下の通りです。
サイバー攻撃によって重要な業務の継続が阻害されるシナリオを作成し、そのシナリオが発生した際の影響度と発生可能性を評価する
重要インフラ事業者がシナリオベースのリスク分析を行おうとした際に、参考になる資料を紹介します。それはNISCが公表している「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書(以下、本手引書)」です。本手引書は、タイトル通り、重要な業務を継続するという観点からのシナリオベースリスク分析を紹介したものです。本手引書では、リスク分析のイメージとして以下の図表が紹介されています。
<リスク分析のイメージ>
<リスク基準の設定イメージ>
出典:NISC「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書」
4.リスクの特定・評価の次のステップ (リスク対応方針の決定)
シナリオベースのリスク分析の手法でリスクの特定・評価を行ったら、次は、各シナリオ(=各リスク)について、リスク対応方針を決定します。具体的には、各シナリオ(=各リスク)に対して、どのような対処を、いつまでに行うかを決定することです。対処の方法には、「リスクの低減」「リスクの回避」「リスクの移転」「リスクの保有」の4つがあります。本手引書にはリスク対応の選択肢についても詳しい説明が載っています。
<リスク対応の選択肢>
出典:NISC「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書」
なお、本ガイドラインでは、リスク対応方針の決定について、以下の通り記述されています。
2.2.2.3. リスク対応
【基本的な対応事項】
①リスク評価の結果に基づき優先順位付けを行い、リスク対応計画(リスク回避、 リスク軽減、リスク受容、リスク移転)を策定すること。
②リスク対応における例外的な取扱いやリスク受容などの取扱いに関する手続を定めること。また、当該手続きによる対応に際しては、経営陣等の承認を得ること。
③リスク対応計画(残存リスクの評価を含む)は、定期的に経営陣に報告すること(あるいは、取締役会等が設定するリスク選好度の範囲内であることを確認すること)。
出典:金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」
5.最後に
リスクアセスメントの手法は一つではなく、既に確立されており、運用実績を有するものが多数存在し、唯一の正解というものはありません。本ガイドラインでも、特定の手法や参考資料を挙げる事はせず、具体的な手法等は各金融機関に委ねています。本記事についても、あくまでも手法の一つとしてシナリオベースのリスク分析があることを紹介したものです。しかしながら、フリーハンドすぎて戸惑っている金融機関においては、何らかの参考になるかもしれませんし、参考になれば幸いです。
<参考URL>
重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書(NISC)
https://www.nisc.go.jp/policy/group/infra/siryou/index.html
北尾 辰也
サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。