情シス立ち上げマニュアル - 戦略づくり（セキュリティ）

数年前にQiitaに記載した記事のアップデート版です。

全部で4つの記事に別れています。
- 採用、マネジメント
- 戦略づくり（ルール、業務基盤）
- 戦略づくり（セキュリティ）→　この記事はコレ
- 戦略づくり（BPR / 業務改善）→ ※内容薄すぎた場合作成しない

●想定読者
　- 情シスがいない企業で情シス立ち上げを行おうとする人
　- 1人目の情シスとして入社して、これから立ち上げを行っていく人

さて、今回はセキュリ周りのお話です。

セキュリティの戦略を作る

1. 現状の確認

現時点でセキュリティに関するゴールや計画があるかを確認します。
ある場合は、それをそのまま進めていくか、アップデートするかを検討します。

具体的には会社としてISMS取得やCIS Controlsベースでの対策を考えている、などが考えられます。

2. 会社として最重要な資産の共通認識を持つ

情報に関する規定を読んでみて情報が機密度に応じてレベル分けがされているか確認します。

もしそのような規定がなければ作成しましょう。これによって会社として守らなければいけない情報が明確になります（機密、非公開、公開可などの区分づけ）

そしてこの共通認識をもつことで具体的な対策につながっていきます。

3. どの資産をターゲットとするのか

最重要な資産に対してのリスクをより減らしていくのか、
もしくは最重要な資産の次に重要な資産に対して、対策を行っていき網羅性を広げるのか

を考えていきます。

例えば、最重要な資産が顧客のクレジットカード情報で、それはプロダクトシステム内のDBにあり、これはPCI DSSに準拠することで、一定の対策がされている。

であるならば、今度はクレジットカード情報以外の顧客情報が社内に存在するため、社内側のセキュリティ対策を行って会社全体のリスクを減らしていこう、、などという形で考えていきます。

逆にここでプロダクトシステム内のセキュリティをより強化する、という話もありえます。

4. 手法を決める

ターゲットを設定できたら、そのターゲットに対してどのようにセキュリティ対策を施していくのか、を考えていきます。

ここでは4つの手法があると思ってます。
※この分け方は私独自の考え方で、一般的な考え方ではないと思います

1.  ベースライン型
　A. ガイドラインに準拠（NIST、CIS Controls、金融業界向けのFISCなど）
　B. セキュリティ認証の取得（ISMS、Pマーク、PCI DSS、SOC2など）

2. リスクベース型
　A. ペネトレーションテストをベースとした対策
　B. 脅威分析（いくつかの分析手法があるので、それを使います）

個人的には経営者に刺さりそうな手法を取るほうがよいと考えています。
例えば、経営者がエンジニア出身でより技術的な対策やファクトベースで対策を好む場合は、リスクベース型の手法を採用する。

逆に営業やコンサル出身で網羅性や外部にアピールできる対策、組織的な対策を好みとする場合はベースライン型の手法を採用するといった選び方です。

もしくはもっと現実的にお金をかけられないといったときはお金をかけずに自分でできる方法を選択するという形もあります。

※
ペネトレーションテストを使った対策を最近経験したため、その実例を別のnote記事で公開していきます。

1-A. ガイドラインに準拠

これは世の中にすでにある専門家によって作られたガイドラインに準拠していくという手法です。

メリット

- 短期間でセキュリティレベルを一定基準まで引き上げることができる
- 比較的セキュリティ全体の網羅性がある手法

デメリット

- あくまでスタンダードな基準なため、自社にとっては一部過剰な対策、もしくは足りない対策もあり

例えば、システム関連規程はNISTに準拠する形で策定したり、より技術的なデバイスセキュリティポリシーはCIS Benchmarkに準拠する形にしたりなど、ガイドラインによって特徴が変わります。

1-B. セキュリティ認証の取得

これは日本の多くの企業が採用している手法です。とりあえずISMS、とりあえずPマークを取るというやり方です。

この手法は本質的な対策というよりも、外部へのセキュリティアピールという効果が強いように感じてます。

ここは多くの方が知っていると思いますので割愛。

2-A. ペネトレーションテストをベースとした対策

外部のセキュリティ専門会社を利用して、実際に攻撃者として攻撃してもらい、脆弱性を洗い出すという手法です。

この方法は実際の環境に対して最終的に脆弱性がレポートとして上がってくるため、対策するべき点が明確なことが大きなメリットです。

メリット

- 基本的にセキュリティ専門会社に外注するため、少ない人数で洗い出しができる
- 実際のシステムベース（ファクト）で改善していける

デメリット

- コストがかかる
- セキュリティ全体の網羅性はない

2-B. 脅威分析

この手法は自分たちで資産の特定、脅威の分析、脆弱性の特定、対策検討を行っていくものです。いくつか手法がありSTRIDE、DREADなどがあるが、まだ勉強不足なので、これ以上突っ込みませんｗ

メリット

- 自分たちでシステムを守るという意識やノウハウが手に入る
- 実際のシステムベース（ファクト）で改善していける

デメリット

- セキュリティチーム、開発チーム、社内ITチームなど多くの人の協力が必要
- セキュリティ全体の網羅性はない

5. 計画に盛り込む

手法を決めたら実施するスケジュールを計画に盛り込んでおきます。セキュリティ対策として具体的に何をするのかは、これらの手法を実施する際に具体化していきます。

おわりに

セキュリティの個別の対策や技術的な側面は昔から語られていますが、このようなセキュリティ対策をどのような優先順位でどのように実施していくかというオープンな情報は少ないと考えています。

私もまだ学習不足の分野ですので、もし、もっとスマートなやり方があるといった場合は教えてくださると嬉しいです。

また情シス立ち上げマニュアルシリーズはいったんこれで終わりとなります。BPR/業務改善について書いてないやんけって話はありますが、これはもう少し経験を積んでノウハウが溜まってから書こうと思います。