ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の「実力」は
どうやって評価するか

デロイト トーマツ リスクサービス
【第10回】 2018年4月26日
著者・コラム紹介バックナンバー
previous page
3
nextpage

RTOで想定と現実のギャップを埋める

 RTOを実施することで、サイバーセキュリティ対策の実効性評価が可能になりますが、そこで評価できることは技術的な対策に限られません。人的対策や物理的対策もスコープとすることで総合的な評価が可能になります。

 また、例えば管理者権限のパスワードが脆弱であり、それが原因で攻撃目標が達成されてしまった、という場合は「何故、脆弱なパスワードが設定され、そのままの状態が継続してしまってしまったのか」という根本原因を究明することで、セキュリティポリシー・規程や組織体制といった課題認識・対策にもつながります。前述のとおりCSIRT(Computer Security Incident Response Team)等のインシデント対応体制・プロセスの実効性を評価することも可能です。

 さらに、単に評価するだけでなく、図表3に示す通り「ここまでの対策は防げる(あるいは検知できる)はず」というと「想定」と、RTOの結果を通じて確認した「現実」のギャップを明確化し、それらのギャップを埋めるための対策を短期・中期で計画し推進していくことで、対策の実効性向上につなげることが可能になります。

 RTOの意義は「評価」に止まらず、実戦演習を通じた、サイバーセキュリティ対策の実効性「向上」にあると言えます。

出所:デロイト トーマツ リスクサービス
拡大画像表示
previous page
3
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧