セキュリティ対策の効果が｢出る企業｣｢出ない企業｣の差 "同業他社が〇〇に感染→〇〇対策"は非効率？ お金･人的リソースをムダ遣いしない方法

加えて、このような取り組みを行ううえで重要なのは、一時的なリスクアセスメントで終わらせず、サイバーリスクに対する継続的なモニタリングを実施することが不可欠。なぜなら現時点ではまだ見つかっていない脆弱性が存在し、攻撃手法もアップデートされていくからです。

自社が保有する各資産の事業への影響度も、環境の変化や成長などの要因で変わっていきます。今は小さな新事業でも急成長すれば半年後、1年後には重要性の高い領域に変化しているケースもあるわけです」

リスク中心のアプローチはセキュリティ部門の一担当者に任せるのではなく、経営層がリードしていかなければ実現が極めて困難なテーマである。CISO（Chief Information Security Officer）が中心となって経営者・経営層を巻き込んで組織としてリスク管理体制を構築することが、取り組みの大前提となるだろう。

セキュリティ侵害のリスクを3分の1に減少させるCTEM

では、実際にリスク中心のアプローチをどう進めていけばよいのか。その際に役に立つのが、CTEM（シーテム：Continuous Threat Exposure Management）のフレームワークである。

松木 和彦（まつき・かずひこ） IIJグローバルソリューションズ シニアコンサルタント、Palo Alto Networksの一次代理店で製品担当エンジニアを担当。その後、マネージドセキュリティサービスやデータプライバシー分野での新規事業開発を経験。現在は、IIJグローバルで戦略ワークショップコンサルティングやプリセールス業務を担当。専門分野は情報セキュリティ、サイバーリスク評価、ゼロトラストコンサルティングなど。CISSP資格を保持し、多数の講演実績がある（写真：本人提供）

「CTEMとはICT分野の調査、助言を行うガートナー社が提唱した言葉で、組織がサイバーセキュリティ上のリスクを継続的かつ一貫して評価し、ビジネスにとって最も重大なリスクへ優先的に対処するためのプログラムです。

これに則って対策を進めていけばリスクを大きく下げることができ、ガートナーではセキュリティ侵害のリスクが3分の1に減少すると予測していますが、きちんとやればそれ以上に下げられる可能性があると思います」

CTEMは組織がすべての脆弱性を修正することは現実的ではないとの前提に立ち、ビジネスにとって最も重要な脅威にリソースを集中させるアプローチで、次の5つのステップで構成されている。

① 攻撃対象領域のスコープ設定
② 資産とリスクプロファイルの発見
③ 最も悪用されやすい脅威の優先順位づけ
④ 攻撃の実行可能性とシステムの反応の検証
⑤ 人材とプロセスの動員