セキュリティの死角をなくす

最近のセキュリティ事故の傾向をみると、産業スパイもどきの非常に巧妙な手口による情報流出、サービス妨害などのサイバー攻撃が日常茶飯事と化しています。セキュリティ技術を悪用したサイバー攻撃に対して、企業の様々な防御策はいとも簡単に破られる事態に陥っています。

このような高度化、複雑化するサイバー攻撃に如何にして対応すべきかが、企業経営の喫緊の課題となっています。一方で、セキュリティ対策は投資対効果の判断基準がわかりにくく、経営者はセキュリティへの投資に積極的に取り組みづらいのではないでしょうか。

本コラムでは、企業を取り巻くセキュリティ状況の可視化および定量的な評価により、企業のセキュリティ対策を円滑に推進する方策について解説します。 

１． 様変わりするセキュリティ脅威

この10年間のセキュリティ事故を振り返ると、以前は、いたずら目的のマルウェア感染、内部不正者による個人情報の持ち出しが多く発生していました。これらは、ハッカーなどの愉快犯や個人の衝動的な犯行が多く、感染や不正の発見が比較的容易でした。

しかしながら、昨今のサイバー攻撃は、産業スパイや国家主導のプロ集団による犯行に様変わりしています。ターゲットとなった企業は、長期間に渡って不正アクセスに気づかず、機密情報を持ち出される事態となっています。また、攻撃者は痕跡を完全に消去しており、流出情報や攻撃者の特定が非常に困難になっています。

最近のセキュリティ事故は、サプライチェーン・ネットワークやリモート・ネットワークの脆弱性を巧みに利用して、本丸の機密情報にアクセスする手口が増加しています。これは、ネットワークを利用したビジネスが一般化し、クローズドな自社IT環境のみのセキュリティ対策だけでは不十分だということを意味します。

このように様変わりするセキュリティ脅威に対して、企業は、セキュリティ技術の高度化、対策範囲の拡大を求められ、専門的なセキュリティ担当に大幅に依存せざるを得ない状況となりつつあります。

２． セキュリティは何故難しいのか

セキュリティ事故やサイバー攻撃のニュース報道があると、「当社のセキュリティは大丈夫か？」、「他社と比べて安全か？」と、経営者から問われた経験を持つ方々は多いでしょう。セキュリティ事故が発生すると企業は甚大な被害を被るため、セキュリティに土地勘のない経営者であっても、避けられない話題になっています。また、経営者のみならず、IT担当からもセキュリティは難しすぎて関わりたくない、という声を良く耳にします。ここでは、「セキュリティは何故難しいのか」について改めて整理します。

一般的に、ITは技術要素の違いから基盤とアプリに大別され、基盤担当とアプリ担当がそれぞれ業務を担うといった分業体制が出来上がっています。また、導入フェーズ、運用フェーズといったシステム・ライフサイクルに応じ、別体制で業務を行うことが大半です。しかしながら、セキュリティに関しては、ITを全体的な視点から俯瞰する必要があり、基盤とアプリの知識、およびシステム・ライフサイクル全般の知識が求められます。

IT担当は、対象分野を深く掘り下げて専門性を追求することが求められます。一方、セキュリティ担当は、IT全体を把握した上でバランスよくセキュリティ対策を立案することを求められます。このように求められるスキルが、ITとセキュリティでは大きく異なり、結果としてセキュリティの敷居が高くなってしまっていると考えられます。また、IT知識を有することを前提としてセキュリティは語られることが多く、この前提となる知識レベルが異なる経営者とセキュリティ担当は、おのずと話が噛み合わない結果となってしまいます。

３． セキュリティをシンプルに

このように取っつきにくいセキュリティですが、ISMS、NIST CSF、CIS Controls、経産省サイバーセキュリティ経営ガイドラインなど国内外で様々なセキュリティガイドラインが策定されています。

ISMSはリスク識別、防御といった予防策を重視したり、CIS Controlsは技術的対策に特化したり、セキュリティガイドラインはそれぞれ重要視する領域が異なります。しかしながら、基本的な考え方は似通っており、これらのセキュリティガイドラインどうしがうまく補完し合うことにより、セキュリティの評価指標として有効活用することができます。本コラムでは、NIST CSFを中心に据えて、企業の特性に応じたセキュリティ状況の指標化を行う枠組みについて検討します。

NIST CSFは、米国国立標準研究所（National Institute of Standards and Technology, NIST）がサイバーセキュリティフレームワーク(Cyber Security Framework, CSF)として2014年に発行したセキュリティガイドラインです。業種や企業規模などに依存せず、セキュリティ状況を数値として評価できる体系的なガイドラインとしてグローバルに活用されています。

NIST CSFでは、①コア、②ティア、③プロファイルの3要素に基づき、セキュリティ状況の評価を行っています。コアは、「識別」、「防御」、「検知」、「対応」、「復旧」の５つのセキュリティ機能を表します。実際には、それぞれのコアは細分化された項目が列挙されますが、集約化することによってシンプルな表現を実現しています。次に、ティアは企業のセキュリティ対策状況を４段階評価するための指標を表します。最後に、企業特性に応じて各コアの４段階評価を行い、現状（AsIs）および今後（ToBe）の状況をプロファイルとして設定します。

このようにセキュリティ状況をシンプルに可視化・定量化することにより、セキュリ ティへの投資判断やセキュリティ対策の優先度付けの根拠を明確にすることができます。

４． 実現にあたって

セキュリティ対策は「いたちごっこ」と言われるように、セキュリティ技術の発展は企業だけでなく、攻撃者側に対しても機会を提供することにつながります。そのために、企業のセキュリティ対策は日々進化させる必要があります。本コラムで述べているセキュリティの可視化だけでは十分でなく、次の３要素を考慮して初めて有効な施策となり得ます。
１） セキュリティ状況の可視化
２） 継続的な維持活動
３） セキュリティ技術のキャッチアップ

１）については、前述の通り、現状(AsIs)と目標(ToBe)を定量的に評価することにより、セキュリティ状況の達成度を把握することができます。２）については、設定した目標(ToBe)の達成後は、新たな目標(ToBe)を再設定し、継続的に企業内で活動を推進することが重要です。現状維持のままでは、セキュリティ技術の発展により、攻撃側の能力が勝ってしまう状況に陥ります。３）については、リソースの問題で自前の対応は難しいケースが多く、積極的に外部リソースやサービスを利用して、技術のフォローアップを行える管理体制を整えるべきと考えます。

弊社では、NRIセキュアテクノロジーズ社のSecure SketCHの認定パートナーとして、セキュリティ状況の可視化コンサルティングを行っています。Secure SketCHを利用すると、同業他社との定量的な比較を行うことができ、自社のポジショニングを明確に捉えることができます。すなわち、「うちのセキュリティは大丈夫か？」という経営者の問いに対して、同業他社との比較結果を定量的に答えることができます。また、IT担当にとっては、担当分野のセキュリティ状況を定量的に把握でき、全体を俯瞰する中で達成すべきレベルを判断しやすくなります。

弊社では、さらなる発展として、Secure SketCHを利用し、グループ会社のセキュリティ状況調査、サプライチェーンリスクの実態調査、外部委託先選定・監査など各種コンサルティングを実施しています。

５． まとめ

テレワークが常態化し、より一層のIT環境の複雑化、見えないセキュリティリスクの増大が懸念されます。解決策として、まずは、セキュリティ状況の可視化を行い、現状把握を行うべきだと考えます。この現状把握をベースに、アクションプランを明確にすることが、最終的には一番の近道です。
今回ご紹介したSecure SketCHのように、弊社は、場面に応じて最適な外部ソリューションをニュートラルな立場で活用し、クライアントニーズに応じたコンサルティングを実施しています。

最後に、企業経営において、セキュリティは単なる投資対効果で判断するものではなく、サービスやプロダクトの提供者として、安心・安全に対する責任を負う義務であると捉え直すべきと考えています。

執筆者
桐生　健一
株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

インシデント発生時の初動対応支援、セキュリティ事故再発防止策検討支援、グローバルWebサイトのセキュリティ強化マネージメント、国立大学の産学連携本部の内部統制強化支援などに従事。主に金融を中心として製造／製薬／通信業界等のクライアントを経験。趣味はナチュラル・ワイン。