セキュリティ対策、中堅・中小企業向け「簡易リスク分析」のススメ：中堅・中小企業向け、標的型攻撃対策の現実解（2）（2/2 ページ）

最も簡易で効果的なリスク分析のススメ

　実は、リスク分析は90分程度のワークショップで実施可能だ。しかしそれには下記の3つの前提条件が付く。

　これらがそろえば、以下のような形で進められる。

　まずは、事務局が参加する人物の日程調整を行うことから始める。このとき、経営者と各部門のキーマネジャー、IT部門の現場担当者が必須であり、一人でも欠ければ短時間で効果的にリスク分析をすることはできない。極めて重要なポイントである。

　その後、事務局は過去に自社が起こしたセキュリティ事故、他社の事故事例、最新のサイバー攻撃のトレンドなどを取りまとめる。筆者の経験上、自社のセキュリティ事故を把握しているケースは思いの外少なく、事故発生時、誰がどのように対応したのかを共有することは非常に効果が高い。この取りまとめた資料はワークショップ前に経営者にもぜひ共有しておこう。

　ここまでが事前準備であり、後はワークショップを執り行う。短時間でワークショップを満足いく形で終わらせるには、ファシリテーターの合意形成を引き出す力、業務知識、そしてサイバーに関する知識が欠かせない。難しければ外部に依頼することも検討するとよいだろう。

　続いてワークショップの進め方だが、用意するものとしては模造紙、付せん、マーカーペン、事前に取りまとめた事故事例の資料などがあればよい。初めは経営者があらためて経営目標を説明する。次に、事務局が取りまとめた事故事例や近年のサイバー攻撃のトレンドなどを紹介し、本格的なリスク分析に入る。具体的には以下のようにファシリテーターがガイドする形で、付せんなどを有効活用しつつ、進めるとよい。

　精緻に分析するよりも、あくまで経営の中心メンバーで合意形成を図ることを主目的として、皆で現状の課題と対策を短時間で認識できるこの進め方が効果的なことが、筆者の経験上は多い。1回のワークショップで具体的に誰がいつまでに対策を実施するのかまで決定できれば理想的だが、それが難しい場合は、事務局が時間をおかずにワークショップの結果を文書に取りまとめ、後日再度同様のメンバーが集まり、対策の実施責任者や期限を決めるとよい。特に、技術的な対策はすぐに決まらないことも多い。特別な知識が必要な上、出口対策やエンドポイントなど実施すべき対策が多数存在するためだ。ここはITの現場担当者が一度検討して、再度メンバーが集まった際に提案するのがよいだろう。

技術的な対策は何をどこまで実装すればよいか

　では、技術的な対策はどこまでやればよいのだろうか。これはサイバーセキュリティ経営ガイドラインの付録Bがヒントとなる。この付録では、これまで多くの中堅・中小企業も実施してきているであろう、アンチウイルスやファイアウォールの導入に加え、標的型攻撃対策としてさらなる対策が必要とされている。図示すると以下のような形となる。

　これらの技術的対策が、中堅・中小企業にとっては1つの指標（ベースライン）となるだろう。また、外部組織と連携するという考え方もガイドラインでは多く示されている。例えば情報入手ということであれば、IPAやJPCERT/CC、J-CSIPなどからの情報の活用などが明記されている。リソースが限られることの多い中堅・中小企業にとっては参考になる点だろう。

　また、具体的にどのセキュリティ製品を導入すべきかという点も、世の中に数多くの製品が存在するため、現場担当者が頭を悩ませているところである。これについては次回以降でガイドラインに合わせ、具体的なセキュリティ製品の特徴など紹介していくこととする。