第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】 ブックマークが追加されました
サイバーセキュリティ対策は、どこからどこまで対策すれば良いか、何から取り組むべきか企業経営者は常に悩まされています。特に昨今のサイバー攻撃は攻撃目的が直接的な金銭的利益を狙ったものだけでなく、個人情報/パーソナルデータを狙ったものや事業妨害、レピュテーション毀損を狙ったもの等、多様化/高度化している傾向がみられます。
一方で、スマートフォン/SNSの普及によってデジタル環境はより身近になり、デジタルとフィジカルの融合によって新しい顧客体験を生み出す構想やAPI Economyを形成し、企業/業界の垣根を超えた価値創出の試みが既に取り組まれており、コロナ禍がもたらした生活様式の変化も相まってビジネス戦略とデジタル環境の活用はより密接な関係となっています。
サイバー攻撃を的確にケアしつつ、デジタル環境を活用したビジネス戦略を成功に導くためには、定量的な事実に基づいた指標、つまりデータ分析結果から導き出したサイバーセキュリティ対策が今後ますます必要になると考えられます。
昨今ではテクノロジーの進化に伴い、事後での検知/モニタリングではなく、リアルタイムで攻撃/不正予兆を検知し、被害を発生させる前に止めるという手法の需要が高くなっています。そのケースにおいても疑わしいと判断するレベルをどのレベルとするのか? そのレベルとした場合の影響は?といった観点からも実データの分析を基に判断を下せるようにすることが重要です。
一つ事例として、リスクベース認証システム(リアルタイムでリスクスコア値を返す機能を保持するシステムのことを示す)導入時において、データ分析が果たす役割、その重要性を示したいと思います。
リスクベース認証システムの主要要件としては、サイバー攻撃を検知できる性能(既知の攻撃を検知できることと未知の攻撃の予兆を捉えること)と実運用に適合できるカスタマイズ性があげられます。いずれも仮説と検証が必要であり、検証の部分において実データから何を読み取り、どのように活かすかがデータ分析、アナリストの重要なポーションとなります。
特にリスクベース認証システムの場合、フォルスポジティブ(偽陽性:真正のアカウントや取引を不正と判定してしまうこと)とフォルスネガティブ(偽陰性:不正のアカウントや取引を真正判定してしまうこと)はトレードオフの関係にあり、セキュリティ性を考えてフォルスネガティブを極力無くしたいと考えると、フォルスポジティブが増えて顧客の利便性阻害や問合せが増えることによる運用負荷増に繋がる場合があるため、基準をどこに設けるべきかが必ず論点となります。PoC/PoVの検証データを用いて、対象とするサービス/資産の重要性と運用の実態とを照らし合わせて、リスクアプローチで最適解を見出すことが肝要です。また実運用に適合するために、どのように検知ルール/ロジックを最適化するか、運用後どのような効果を見出したのかといった所もデータ検証結果に基づいて確認、次への糧にする必要があります。初期検知ルール/ロジックのみならず、PDCAサイクルの一端としてもデータ分析を担うアナリストの果たす役割は大きく、ますます必要性が高まる可能性があります。
データ分析に基づいたサイバーセキュリティ対策の必要性を知りながら、多くの企業が実行に移せず、課題を抱え、乗り越えられていない状況にあるのはなぜか?それは次に示すような実状があるのではないでしょうか。
・人材のリソース、スキル不足
・組織/システム間のコミュニケーションハードル
・経営層への説明が難しく、理解が得難い
事例として、取り上げたリスクベース認証システムの導入/運用では以下のような事象がよく問題となり、当方でもご相談事項としてお話を伺うことが多いです。
1)リスクベース認証システムを導入したが、人材/スキル不足のため、自社のサービス特性にあった検知ルールになっているのか、機械学習モデルの不正検知性能が検証できておらず、結果不正被害を被った。
2) ルールベースでリアルタイム不正検知を行っていたが、フォルスポジティブが多く、顧客の利便性阻害、顧客クレームやビジネス機会の損失、ルールメンテナンス業務の高負荷、機械学習モデルの再学習等の運用に耐えられない状態に陥った。
3) 現場ではリスクベース認証システムの必要性を認知しているものの、将来的なリスクや費用対効果を上位層に伝えることが難しく、かつ理解も得られないため、対処が先送りになる。若しくは、トレンドやベストプラクティスが考慮されず、即時代遅れになる。
この例が示す通り、システム/テクノロジーにフォーカスするのみでは問題をかえって大きくし、課題を乗り越えるどころか、さらに課題を増やすことになりかねません。データ分析を基にした適合性検証や実態にあった運用方法の導出、PDCAサイクルをプロセスとして機能させることが必要であり、サイバーセキュリティ経営ガイドラインが示すように、サイバーセキュリティ対策を「コスト」と捉えるのではなく、将来の事業活動・成長に必要な「投資」と捉えることが重要であると言えます。
「人材のリソース、スキル不足」、「組織/システム間のコミュニケーションハードル」、「経営層への説明が難しく、理解が得難い」といった問題を乗り越えるためには何が必要か? それは専門家のサポートではないでしょうか。中立的な立場から必要性を説き、対策の妥当性を検証し、期待役割や効果を示すことで乗り越えられない状態であった課題を次のステップへと導く、それが専門家の役割だと考えます。
サイバーセキュリティの専門家は、「守るべき資産、それに対する脅威の把握/整理」や「近年の典型的なサイバー攻撃手法、その対処方法」、「想定する脅威/攻撃に対する備え、およびそのアプローチ方法」等に対して、サポートを提供することができます。一方、データアナリティクスの専門家は、「リスク検知ルール/機械学習モデル等の構築」、「リスクベース認証システムの性能検証/チューニング」、「データ分析人材の育成」等に係るサポートを提供することができます。
その相乗効果を活用することは、まさに効果的なサイバーセキュリティ対策を「投資」として行うことに等しく、定量的な事実に基づいたプロアクティブなアプローチは、多くの悩める企業経営者が求めている一助を担うことができます。
・第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)
・第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】
・第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】
・第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】
・第7回 情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】
・第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】
・第9回 転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】
・第10回 サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】
・第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】
・第12回 断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜
・第13回 地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~
・第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】
・第15回 スマートシティ推進における個人データの保護・活用
大場 久永/Hisanaga Oba
有限責任監査法人トーマツ
金融機関を主軸として、アナリティクスに関わるアドバイザリー業務に従事。金融機関に対して信用リスク関連業務における機械学習および深層学習の活用に関するプロジェクトに従事する他、AML領域におけるアナリティクス活用を推進している。直近ではサイバーセキュリティにおけるアナリティクス活用など幅広い領域での業務経験を有する。
櫻田 仁詩/Hitoshi Sakurada
デロイト トーマツ サイバー合同会社
SIerとして、大規模プロジェクト、ITソフトウェア/インフラストラクチャーの要件定義、設計開発/構築、運用保守業務に従事。その後現職にて、金融分野をメインとしたIT全般統制内部監査、特権アクセス管理やSAPのシステム導入に関わるセキュリティコンサルティング業務の経験を経て、現在B2C/B2B/G2C向け基盤の顧客ID/アクセス管理(Customer IAM)に係る構想策定、デジタルアイデンティティガイドラインの策定、不正検知対策(リスクベース認証/ATO防止)等に係るコンサルティングを主として担当。
※所属などの情報は執筆当時のものです。