自社のセキュリティーリスクを測る手段として、脆弱性の指標である「CVSS(Common Vulnerability Scoring System)」を応用している企業がある。それはヤフーだ。

 ビジネスを進める上で、起こり得るセキュリティーリスクを正確に見積もることは重要だ。例えばリスクを過小評価して対策を怠れば情報漏洩や重要なシステムの停止など事業継続を脅かす事態を招きかねない。一方、リスクを過大評価してサービス展開自体を諦めてしまえば機会ロスにつながる。

 ヤフーでは2021年6月からBtoCで提供する外向けのサービスを対象に、セキュリティーリスクを定量化して適切に評価する運用を始めた。この評価にCVSSを応用した。

属人化したリスク評価が課題だった

 ヤフーはかねて経営にERM(全社的リスクマネジメント)を取り入れていた。災害など脆弱性に限らないさまざまなリスクを「発生確率」と「影響度」に分けて評価する。だがこの評価に対して、同社CISO室セキュリティ推進室リスクアセスメントの佐滝知彦氏は「人によるずれの大きさに課題があると考えていた」という。

 例えば、あるリスクについて発生確率を「1年に1回くらいだろう」とみる人もいれば、「1週間以内にも起こり得る」とみる人もいる。影響や被害の大きさも、人によって100万円見積もったり、何十億円と見積もったりする。「経営が適切な判断を下すためには、職人芸や経験によらず誰でも一定の機械的なジャッジができるようにしないといけない」(佐滝氏)と考え、リスクを定量化できるしくみづくりに取り組んだ。

 参考にしたのがCVSSだ。CVSSは共通脆弱性評価システムと呼ばれ、脆弱性の深刻度を表す業界標準の指標である。脆弱性そのものの特性を評価する「基本評価基準」と攻撃される可能性や利用可能な対策のレベルなどからなる「現状評価基準」、攻撃を受けた場合の被害の大きさを評価する「環境評価基準」の3つの評価基準でそれぞれ数値を算出し、脆弱性の深刻度合いを測る。

 ヤフーでは、CVSSの基準を算出するための評価項目を利用した。ただ、「CVSSはセキュリティーが専門でない社員にとっては難しい用語も含まれているためとっつきにくい」(佐滝氏)と考え、ヤフー流にアレンジしてリスク評価に取り入れた。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。