クラウド移行のセキュリティリスクを評価する3つのステップ

この突然かつ予期せぬリモートワークへの移行により、企業はコラボレーションと情報共有の新しい方法を見つける必要に迫られています。アプリやプログラムはそれぞれ異なりますが、すべてに共通する点が 1 つあります。それはクラウドです。

パンデミックであろうとなかろうと、現実には、世界的な健康危機をきっかけにサイバーセキュリティのリスクが消えたり軽減したりすることはありません。実際、その逆が真実だと考える人が多い。これとは別に、クラウド ホスティング ソリューションへの突然の移行は、サイバー リスクの露出に影響を及ぼす可能性があります。 RiskLens と情報リスクの因子分析 (FAIR) モデルを使用すると、この変更が収益にどの程度影響するかを判断できます。

リスクの露出がどのように変化するかを理解するには、まず資産がローカルに保存されていると仮定し、次にクラウドでホストされていると仮定して、関連するシナリオから直面するリスクを分析する必要があります。

この状況には多くのリスクシナリオが関連しています。総損失リスクの「全体像」を把握するために、分析する可能性が最も高い 3 ～ 5 つを選択することをお勧めします。必要な作業量がわからない場合でも心配はいりません。RiskLens プラットフォームのトリアージ機能を使用すると、昼休みに選択したシナリオを分析できます。

この演習では、次のシナリオに焦点を当てます。

悪意のある外部行為者 (脅威) は、XYZ データベース (資産) に含まれる機密情報の機密性にどの程度のリスクをもたらしますか (影響)?

ステップ 1: 現在の露出はどれくらいですか? （地元）

XYZ データベースに含まれる機密情報の漏洩に関連する現在の損失リスクを理解するには、XYZ データベースに含まれる機密情報の漏洩がどのくらいの頻度で発生するか (公平に言えば、「損失イベント頻度」) と、漏洩が発生するたびに発生する金銭的損失のリスク (損失規模) という 2 つの点を知る必要があります。

（１）損失イベント頻度

入手した情報に応じて、さらにドリルダウンして、損失イベント頻度の構成要素（外部の悪意のある行為者が XYZ データベース内の機密情報を侵害しようとする頻度 (脅威イベント頻度) と、その試みが成功する可能性 (脆弱性)）を評価することもできます。

組織内でこれまでにインシデントが発生したことがないと仮定すると、これは単に以前に試みられたことがないからなのか (情報の価値、組織自体の可視性、データベースの公開可視性などを考慮すると)、それとも実施されている制御/プロセスが原因で成功しなかったからなのかを検討してください。

（２）損失

損失の規模は主に 2 つの部分に分けられます。一次損失と二次損失は、対応、代替、生産性、競争上の優位性、評判、罰金と判決の 6 つの形式で構成されます。それぞれの状況において、6 つのシナリオのどれが当てはまるかを判断する必要があります。データベース侵害の場合、次のような結果が予想されます: 対応 (プライマリ)、対応 (セカンダリ)、罰金と判決 (セカンダリ)、評判 (セカンダリ)。損失の規模を把握する方法について詳しく学びます。

上記のグラフは、毎年特定の年間財務損失リスク（年間損失リスク）以上が発生する確率を示しています。この例では、特定の年に 1 億 720 万ドル以上の損失が発生する確率は約 62% です。

ステップ 2: クラウド ホスティングを使用する場合の露出はどのようなものですか?

クラウド ホスト ソリューションに移行した後にどの程度のリスクに直面するかを見積もるには、まず、変更によって影響を受ける主要コンポーネントを特定する必要があります。

• 試行イベントの頻度（脅威イベントの頻度）
• イベント成功頻度（脆弱性）
• それが起こったらどれほどひどいことになるか（損失の大きさ）

通常、これらの領域のうち 1 つだけが大きな影響を受けますが、組織によって異なる場合があります。影響を受けるコンポーネントを特定したら、影響の範囲を推定できます。たとえば、クラウドに移行すると、クラウド プロバイダーの境界制御が強化され、パッチ適用の頻度が改善されるため、脆弱性が 20% 減少すると判断する場合があります。

クラウド ホスティング ソリューションの将来の状態における最も可能性の高い年間損失リスクは現在 0 ドルです。これは、シミュレーションされた年の大部分 (この場合は、RiskLens プラットフォームを使用して標準的な反復でモンテカルロ シミュレーションを実行した 5,000 年) で損失イベントが発生しなかったことを意味し、損失リスクは 0 ドルでした。これは通常、頻度が低い (年に 1 回未満)、脆弱性が低い、またはその両方の結果です。この場合、この結果をもたらしたのは両方の組み合わせでした。

ステップ 3: 違いは何ですか?

オンプレミス (現在の状態) またはクラウド ホスト型 (将来の状態) ソリューションを検討する際に、XYZ データベースから機密データが漏洩することで直面するリスクのレベルを理解したら、最後のステップは投資収益率を評価することです。

比較チャートは、クラウド ホスト ソリューションに移行した後、平均年間損失リスクが約 1 億 200 万ドル削減されたことを示しています。組織の次のステップは、投資収益率 (ROI) を計算するために、移行に必要な財務投資額 (資本および FTE) を決定することです。

クラウド ホスティング ソリューションがリスクを高めるか低めるかについての継続的な議論は、白か黒かの問題ではありません。次回、組織がクラウドへの移行または新しいシステムの構築を検討するときは、包括的な定量的リスク評価を決定の一部に含めてください。