Hello there, ('ω')ノ
サイバーセキュリティのリスクを管理する上で、まず理解すべきなのが「どのITリソースがどのようなリスクを抱えているのか」という点です。企業のIT環境は、サーバーやネットワーク機器、クラウドサービス、従業員のPCやスマートフォンなど多岐にわたり、これらすべてが攻撃の対象になり得ます。
NISTサイバーセキュリティフレームワーク(NIST CSF)の「識別(Identify)」機能では、IT資産を正確に把握し、各リソースがどのようなリスクを持つかを分析することが求められています。
ITリソースとは?
ITリソースとは、企業が業務を遂行するために使用するハードウェア、ソフトウェア、ネットワーク、クラウドサービス、データなどのすべてのIT関連資産を指します。
主なITリソースの種類
| カテゴリ | 具体的な例 |
|---|---|
| ハードウェア | サーバー、PC、スマートフォン、IoTデバイス |
| ソフトウェア | OS、業務アプリケーション、セキュリティソフト |
| ネットワーク | ルーター、ファイアウォール、VPN、Wi-Fi |
| クラウドサービス | AWS、Google Cloud、Microsoft 365、SaaS |
| データ | 顧客情報、社内文書、知的財産、ログデータ |
| 人的リソース | 従業員、外部委託先、IT管理者 |
ITリソースごとのリスクと原因
① ハードウェアのリスク
企業が使用するPCやサーバー、スマートフォン、IoTデバイスには、以下のようなリスクがあります。
✅ 主なリスク
- 未適用のセキュリティパッチによる脆弱性(例:古いOSのPCが攻撃対象になる)
- 物理的な盗難や紛失(例:社員がノートPCをカフェに置き忘れる)
- 内部不正によるデータ持ち出し(例:USBメモリで機密情報が持ち出される)
✅ リスクの原因
- 適切な資産管理ができていない(どの端末がどこにあるか把握できていない)
- 古いデバイスを使い続けている(Windows 7のようなサポート切れOSの使用)
- 従業員のセキュリティ意識が低い(紛失時の適切な対応ができない)
💡 対策
✔ IT資産管理ツールを活用し、使用中のハードウェアを可視化する
✔ 古いデバイスの使用を禁止し、最新のOSに移行する
✔ 紛失対策として、PCやスマートフォンにリモートワイプ機能を導入する
② ソフトウェアのリスク
業務で使用するソフトウェアが適切に管理されていないと、以下のようなリスクが発生します。
