AIサミット:安全なAI導入と開発を加速 今すぐ視聴する

サイバーセキュリティリスク評価とは

サイバーセキュリティリスク評価とは、組織のIT環境内の脆弱性と脅威を特定し、セキュリティイベントの可能性を評価して、これらが発生した場合の潜在的な影響を判断することを目的とした体系的なプロセスです。

ほとんどの場合、リスク評価では、組織の特定の課題に対処し、侵害やその他の破壊的なインシデントのリスクを軽減するための追加のセキュリティコントロールに関する推奨事項も提供されます。

サイバーセキュリティリスク評価の重要性

現代のほぼすべてのビジネスが、オンラインプレゼンスを維持し、接続されたデバイスを業務に利用しています。これにより、システム上のあらゆるエンドポイントやオンラインアクティビティが、システム、アプリケーション、データ、その他のアセットにアクセスしようとする脅威アクターのゲートウェイとなる可能性があるため、サイバー攻撃に対して脆弱になります。

残念ながら、企業によるデジタルアクティビティが増えるほど、サイバー攻撃の標的になる可能性も高まります。近年、これらの攻撃の頻度と複雑さは着実に増加しており、組織がリスクを軽減するためにさまざまなサイバーセキュリティ対策にプロアクティブに取り組むことが、これまで以上に重要となっています。

最近実施されたクラウドストライク2024年版グローバル脅威レポートにより、定期的かつ包括的なサイバーセキュリティリスク評価の実施が非常に重要であることを明確に示す次のような主要な調査結果が明らかになりました。

  • 「ハンズオン」攻撃が増加:認証情報フィッシング、パスワードスプレー攻撃、ソーシャルエンジニアリングなどの対話型侵入は、2023年に60%増加し、企業がさまざまな攻撃ベクトルに対して防御する必要があることを浮き彫りになりました。
  • 盗まれた認証情報がステルス攻撃を助長:正規の認証情報を活用することは、現在、攻撃者がアクセスを獲得するための最も迅速かつ一般的な方法の1つとなっています。このことは、組織が検知の困難なアイデンティティベースの手法に対して防御する必要性を浮き彫りにしています。
  • クラウドは特に攻撃に対して脆弱:クラウドストライクの分析により、2023年にクラウドへの侵入が75%増加したことが明らかになりました。クラウドへの移行は多くの組織にとって重要なビジネスイニシアチブですが、セキュリティを移行戦略の中心的な要素に据える必要があります。

クラウドストライク
2025年版
グローバル脅威
レポート

クラウドストライク
2025年版
グローバル脅威
レポート

必読の年次サイバーセキュリティレポートをご覧ください。

ダウンロード

サイバーセキュリティリスク評価の利点

サイバーセキュリティリスク評価の最も明白な利点は、IT環境全体での組織のセキュリティポスチャの強化です。これは、次の方法で実現されます。

  • ITアセットとアプリケーションの可視性の向上
  • ユーザー特権、Active Directory内のアクティビティ、およびアイデンティティの完全なインベントリー
  • デバイス、アプリケーション、およびユーザーアイデンティティ全体にわたる弱点の特定
  • 脅威アクターによって悪用される可能性のある明確な脆弱性の特定

リスク評価は、組織のセキュリティポスチャを強化するだけでなく、次のようないくつかの重要な二次的な利点をもたらす可能性もあります。

  • 脆弱性の早期緩和策および攻撃防御により、コストを削減
  • リスクと影響に応じて優先度の高いアクティビティを特定することで、限られたリソースを最適化
  • 関連するデータ要件へのコンプライアンスを確保することで、規制リスクを低減
  • ダウンタイムの回避により、アプリケーションとサービスの可用性を改善

サイバーセキュリティリスク評価を実行する前の考慮事項

サイバーセキュリティリスク評価を実施する前に、組織はいくつかの予備的なステップを実行し、成功に向けて準備を整えておく必要があります。

  1. 評価の明確な目的を設定します。ほとんどの組織にとって、サイバーリスク評価の目標は、IT環境内における明確な脆弱性と脅威、およびそれらを軽減するのに役立つセキュリティ対策を特定することにより、リスクを軽減することです。さらに、組織ごとに、コスト削減、リソース最適化、またはその他の基準に関して特定の目的が存在する場合があります。
  2. 評価のスコープを定義します。多くの組織では、そのIT環境は大規模かつ複雑です。また、ほとんどの組織では予算やリソースが限られているため、評価のスコープの対象を特定のアセットやシステムに限定したり、チームが考慮する脆弱性や脅威のタイプを定義したりすることが必要になる場合があります。
  3. 評価チームを特定します。リスク評価を実施するには、特定のサイバーセキュリティに関する専門知識が必要です。ドメインに関する深い知識と経験を持つサイバーセキュリティチームが社内に存在しない組織では、評価の計画と実施を支援するために、信頼できる評判の高いサードパーティのサイバーセキュリティパートナーを雇うことが必要になる場合があります。
  4. 評価フレームワークを策定します。効果的なサイバーリスク評価プロセスのためには、一貫して適用される明確に定義された基準に基づいて、リスクを評価および分析する必要があります。リスク評価のためのフレームワークを確立することは、チームが徹底して一貫した評価を確実に行ううえで重要です。

詳細

権限を昇格して機密情報にアクセスするのにインサイダーが利用した脆弱性については、このブログをお読みください。

ブログ:悪意のあるインサイダーが既知の脆弱性を使用して組織を攻撃する方法

サイバーセキュリティリスク評価を実行するための7つのステップ

サイバーセキュリティリスク評価を定期的に実施して、セキュリティ対策の弱点をプロアクティブに特定し、リソースに優先順位を付け、サイバー脅威から保護するための効果的な戦略を策定することが不可欠です。しかし、組織はこのプロセスにどのように取り組んでいるのでしょうか?

包括的なサイバーリスク評価を実施するための7つの主要なステップを次に示します。

1. データ監査を実行し、値に基づいて優先順位を付ける

包括的で最新のアセットインベントリーを確立することは、すべての企業にとってサイバーセキュリティプログラムの基本的な要素です。この監査により、環境で使用されているエンドポイント、クラウドワークロード、アプリケーション、アカウントが可視化され、組織が重大なセキュリティギャップを特定し、データ侵害のリスクを軽減するのに役立ちます。

すべてのアセットを特定するだけでなく、組織は、いわゆる「最も重要な」アセットも特定する必要があります。これは、ビジネスにとって非常に価値のある機密データやIP、または重要なアプリケーションやアセットである可能性があります。

IT環境を定義し、最も重要なアセットを特定することで、組織は、これらの価値の高いアイテムを保護するためのステップを実行し、これらを保護するためのターゲットを絞ったセキュリティコントロールの実装を優先することができます。

2. サイバー脅威と脆弱性を特定する

リスク評価の2番目では、組織はすべてのサイバー脆弱性と脅威を特定します。

脆弱性とは、サイバー攻撃時に悪用される可能性のあるIT環境内の弱点です。一般的な脆弱性には次のようなものがあります。

  • IT設定ミス
  • 過剰な管理権とアクセス権
  • 保護されていない、または保護が不十分なエンドポイント
  • 公開されている管理対象外アセット(適切にプロビジョニング解除されていないユーザーまたはアセットを含む)
  • パッチが適用されていないアプリケーションまたはシステム
  • 弱いパスワード
  • 弱点となるIT設定

脅威とは、脅威アクターが脆弱性を悪用するために使用する戦術、手法、および方法です。脅威は、従業員またはその他の承認されたユーザーを発生源とする内部的なものであることも、組織外を発生源とする外部的なものであることもあります。脅威には次のようなものがあります。

  • マルウェア:ランサムウェア、トロイの木馬、スパイウェア、ウイルス、および悪意のある方法でソフトウェアを利用するその他のタイプの攻撃
  • フィッシング:スピアフィッシングまたはその他のソーシャルエンジニアリング攻撃
  • エクスプロイトキット:サイバー犯罪者がシステムまたはコードの特定の脆弱性を攻撃するために使用する、あらゆるツールキット
  • 分散型サービス拒否 (DDoS) 攻撃:偽のインターネットトラフィックでサーバーやネットワークを氾濫させることで、それらの業務を妨害しようとするサイバー攻撃
  • SQLインジェクション:悪意のあるSQLコードをアプリケーションに挿入することにより、攻撃者がデータベースの内容を表示または変更できるようにするサイバー攻撃
  • インサイダー脅威:組織内を発生源とするあらゆるサイバーリスク

各アセットに関連する潜在的な脅威を特定するために、評判の高いフレームワークや方法論、およびサードパーティの調査やレポートを参照することが企業にとって有用である場合があります。これには、次のようなものがあります。

  • MITRE ATT&CK®フレームワーク:攻撃ライフサイクル全体にわたるサイバー攻撃者の戦術および手法を追跡した精選された知識ベース
  • サイバーキルチェーン:軍のキルチェーンを適応させたもので、いくつかの一般的なサイバー攻撃のさまざまな段階、および情報セキュリティチームが攻撃者を防止、検知、傍受できるポイントの概要を示したもの
  • National Vulnerability Database (NVD):米国国立標準技術研究所 (NIST) がまとめた標準ベースの脆弱性管理データのリポジトリ
  • サイバーセキュリティベンダーのレポートおよびアラート
  • 政府発行のレポートおよびアラート

3. 関連リスクを評価および分析する

組織が優先度の高いアセットを、特定の脆弱性と潜在的な脅威とともに特定したら、情報セキュリティチームは、これらの要素に基づいて対応するリスクレベルを評価し、計算できます。

このステップは、重要なアセットと既存の脆弱性または脅威の間のあらゆる重複を明らかにすることを目的としており、組織が攻撃の可能性と潜在的な影響を判断するのに役立ちます。この情報を分析することで、組織は、リスクを軽減するアクションに優先順位を付けることができます。

4. さまざまなサイバーリスクの可能性と影響を計算する

リスク評価に関するその他2つの重要な考慮事項は、次のとおりです。

  1. 攻撃の可能性、またはアクターが脆弱性を悪用する可能性
  2. 潜在的な攻撃の結果、またはそのようなイベントが組織に与える影響

攻撃の可能性は、次のような要因の組み合わせに基づいています。

  • 検出可能性:脆弱性が認識されている度合い
  • 悪用可能性:攻撃者が弱点を利用できる容易さ
  • 再現性:サイバー犯罪者が長期にわたって同じ手法を活用したり、同じ脆弱性を悪用したりする能力

攻撃の影響は、通常、組織のデータの機密性、整合性、および可用性の喪失に基づいています。次に、これらの要因は、金銭的損失、復旧コスト、罰金や、コンプライアンス違反、風評被害、およびブランドの毀損の結果としての法的影響など、他の結果に関連付けられる可能性があります。

このプロセスの一環として、組織は、IT環境内のすべての脆弱性と対応する脅威の影響を計算および定量化するのに役立つ、明確で一貫性のある評価ツールを開発する必要があります。これにより、攻撃の潜在的な影響に基づいて、アクティビティに優先順位を付けることができます。

5. セキュリティコントロールを実装する

IT環境内にリスクが存在する場合、軽減するための追加のセキュリティコントロールが必要になります。このステップの一環として、組織は、攻撃の可能性を最小化または排除するために必要となる具体的な対策を評価する必要があります。

セキュリティコントロールには、次のように多くの形態があります。

6. 費用便益分析に基づいてリスクに優先順位を付ける

この時点で、組織は評価中に表面化した脆弱性を確認し、どの脆弱性がビジネスに最大のリスクをもたらすかに基づいて優先順位を付けます。最も優先度の高いものを最初に修復する必要があります。

優先順位付けの要素には、次のようなものがあります。

  • データベースまたは脅威インテリジェンスツールに基づく脆弱性スコア
  • 弱点が悪用された場合のビジネスへの影響
  • サイバー犯罪者がこの弱点を認識している可能性、およびその弱点が再度悪用される可能性
  • 悪用しやすさ
  • 脆弱性を無効化するために必要なパッチの可用性

詳細

このブログでは、脆弱性を効果的に優先順位付けする重要性を強調し、この優先順位付けを最小限の労力で効果的に行うために、クラウドストライクがどのように役立つかを示しています。

ブログ:組織が脆弱性へのパッチ適用に優先順位を付ける際のCrowdStrike Servicesによる支援

7. 結果を監視して文書化する

最後のステップでは、評価ツールによって包括的なレポートが提供され、セキュリティチームに環境内のすべての脆弱性のスナップショットが示されます。また、このレポートでは、脆弱性に優先順位を付けられ、これらの脆弱性を修復する方法に関するガイダンスも提供されます。

レポートで検出される脆弱性に関する情報には、次のものがあります。

  • 脆弱性が検出された日時と場所
  • これらの脆弱性が影響を与えるシステムまたはアセット
  • これらが再度悪用される可能性
  • 悪用された場合の潜在的なビジネスへの損害
  • パッチの可用性とその展開に必要な労力

サイバーリスク評価は継続的なプロセスである点に留意することが重要です。脆弱性と脅威の状況は(分刻みではないにしても)日々変化しているため、組織は、定期的かつ頻繁に評価を実施する必要があります。これにより、組織は過去のスキャンで特定された脆弱性が効果的に解決されるだけでなく、新たな脆弱性が発生した際に検知することもできます。

クラウドストライクのアプローチ

サイバー攻撃から組織を防御するには、まずIT環境に潜むギャップ、弱点、およびリスクを理解する必要があります。

CrowdStrike Technical Risk Assessmentは、侵害が発生する前に組織がデータ、システム、ネットワーク、およびユーザーをプロアクティブに保護するために使用できる、詳細な脆弱性検出、脅威検知、およびリスク評価サービスです。

CrowdStrike Technical Risk Assessmentにより、組織は次のことを実行できます。

  • 環境で使用されているパッチ未適用のアプリケーションや不正なアプリケーションに関するインサイトを提供して、脆弱性のあるアプリケーションを検知できます
  • ネットワーク内の管理対象外エンドポイントを検知して、保護されていない不正なシステムを修復できます
  • ネットワーク全体で管理者認証情報を監視して、Active Directoryの不正利用を防止できます

ジャナニ・ナガラジャン(Janani Nagarajan)は、プロダクトマーケティング担当シニアディレクターとして、CrowdStrike® Servicesポートフォリオとクラウドストライクプラットフォームエコシステムを担当しています。サイバーセキュリティ、クラウド、ネットワークテクノロジーで15年以上の経験を持ち、CiscoとIllumioでキャリアを積んできました。ポジショニング、メッセージング、市場開拓戦略を専門とし、さらにエンジニアリング、製品管理、販売、アライアンスの専門知識も備えています。現在は、製品マーケティングのチームを率いて、製品とパートナーシップの立ち上げ、セールス、パートナー、顧客への価値の明確化、市場戦略と実行を監督しています。