脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2022年10月25日 07時02分 公開
[山下竜大ITmedia]
前のページへ 1|2       

成熟度アセスメントによる組織の対応能力の強化

 成熟度アセスメントでは、自社の管理態勢やプロセスを評価する。具体的には、自社の管理態勢・プロセスのあるべき姿(目標)と評価の項目・基準を設定。評価項目に対し、自社のサイバーセキュリティ対策の取組みレベルを確認し、目標レベルとのギャップを分析することで必要な改善策を策定する。

 業種や企業規模などの観点で、自社にあったフレームワークを選択することで、納得感のある評価をし、経営への説明もしやすくなる。例えば、NIST サイバーセキュリティフレームワーク(CSF)やFFIEC CAT(米国連邦金融機関検査協議会 Cybersecurity Assessment Tool)など。『経団連サイバーセキュリティ経営宣言に関する取組み』には、サイバーセキュリティ経営のより一層の強化として成熟度の可視化の説明がある。

 「成熟度アセスメントを実施するうえで重要なのは、フレームワークの評価項目を自社の環境や組織体制を踏まえて、自社の態勢評価項目として定義しなおすことです。またセルフアセスメントではなく、第三者評価という方法もありますが、現場の業務運営の実態から見える課題、自社の組織体制や組織風土に起因する課題などがあるので、自ら主体的に取り組まないと真の評価には至りません」(黒山氏)。

 サイバーセキュリティで最も重要なことは、認証/認可/監査、多層防御、パッチマネジメントなどの「基本」をしっかり行うことだが、漏れなく、適切に行うことは難しいのが実情。アセスメントを通じて成熟度を高めていくうえで、重要な基本事項を何点か説明する。

(1)サイバーハイジーン

 インシデントの原因には、管理対象から漏れていた、セキュリティパッチを適用していなかったなど、基本的な行動ができていないケースが多い。各プロセスを整備するとともに、組織に浸透させる必要がある。プロセスの文書化により属人化、判断基準・品質のばらつきを防ぐ、自ら実施状況を測定する統制を組み込む、教育を行うなど、プロセスの実効性の確保がポイントになる。プロセスの自動化なども重要。People、Process、Technologyの観点で考える。

(2)インテリジェンスの活用

 インテリジェンスを防御や検知のセキュリティオペレーションに組み込むことで、事前に攻撃を遮断して防御する、異常を早期に検知して攻撃を封じ込め、被害を最小限にする。

外部から情報を収集して脅威インテリジェンスを活用する。

(3)インシデント対応態勢の整備

 インシデントの発生を100%防ぐことはできないので、業務中断が起こり得ることを前提に、影響を許容範囲内に収めるサイバーレジリエンスが重要になる。危機管理計画、コンティンジェンシープラン、業務継続計画(BCP)などには、サードパーティーやサプライチェーンも含めておく。定期的に訓練/演習を行い、振り返り/手順の改善も行う。

(4)システムの企画・開発プロセスの整備

 脆弱性のあるシステムを開発しないために、企画、設計の段階で脅威を特定し、セキュリティ対策を組み込むセキュリティバイデザイン、セキュリティに関するアセスメントやレビュー、セキュアコーディングガイドライン、脆弱性診断などが必要になる。DX推進が企業価値に直結することから、DXとサイバーセキュリティの同時推進も求められる。

 「デジタル案件の懸念点は、技術の適切性、システム設計の適切性、レギュレーション、クラウドの設定ミスの防止、サービス仕様に起因する脆弱性など。しかし、セキュリティの基本は変わらない。基本にもとづいて対策を実施してほしい」(黒山氏)

DXとサイバーセキュリティの同時推進が求められる。

 リスクコミュニケーションがデジタル案件を適切に進める上で重要である。早期に関係者とリスクの洗い出しやレビューを行う必要がある。そのためには、関係者が脅威と想定リスク、必要な対策の考え方を理解して一緒に論議できるようにするための教育も重要。

 自社のセキュリティ基準は、自社で確保すべきセキュリティレベルをもとに、対策要件を具体的に定める。クラウドなど、新しい技術やサービスを採用する場合は、事前に基準を策定してタイムリーに追加していくことも忘れてはいけない。このとき業界スタンダードやガイドラインをもとに基本的な考え方を整理し、網羅性も確保する。

 クラウドセキュリティの対策の考え方は、SP800-53、ISO27001、CIS CSC、CSFなど、オンプレミスと同じ。ただし、責任共有モデル、設定ミスの考慮など、クラウド固有のリスクを考慮してほしい。自社の利用方針に適合したクラウドの管理規定を整備して、クラウドの導入、利用時のアセスメントや審査のプロセスを策定することも重要だ。

 上記2つのアセスメントを効果的に実施すれば、サイバーセキュリティリスクを見える化することができる。見える化できた課題への対応は、IT部門だけではなく全部門が関係することが多い。経営が関与する自社のリスク管理の枠組みの中で管理し、PDCAを回すことが有効。

共助の取り組み

 攻撃者絶対優位の現状では、個社でサイバー攻撃に対応することは困難。ほかの組織との協力体制を構築する「共助」が必須になる。共助のメリットは、脅威情報の入手、脆弱性情報や脅威情報の分析、実効性のあるセキュリティ対策の情報交換、サイバー攻撃に対する実戦能力の涵養と対応態勢の確認、人材育成など。情報共有が目的ではなく、その後の分析、活用、そして自ら情報を発信することも重要になる。

 例えば、金融業界内での共助として、金融ISAC( Information Sharing And Analysis Center)という組織があり、現在400社以上の金融機関が参加している。活動の柱は、コレクティブインテリジェンスとリソースシェアリングの2つ。

 また、自社グループ内における「自助」と「共助」、そして取り組み全体の認識を統一するためにはコミュニケーションが欠かせない。

 黒山氏は、「サイバーセキュリティリスクはITだけの問題ではなく、各部門が関係する全社的な問題であるため、自社のリスク管理の枠組みの中で、経営レベルでPDCAを回すことが必要です。そのためのアプローチ方法として、フレームワークを活用し、網羅的・体系的にアセスメントを行い、自社のリスクと弱点を特定し、改善していくことが有効です。その中では、サイバーハイジーンといった基本を徹底すること、脆弱性情報や脅威情報を収集・分析して環境変化に対応すること、防御・検知だけではなく対応・復旧に備えることも必要です。DXでもセキュリティの基本は変わらないので、基本に立ち返って考える、その際は、関係者との適切なリスクコミュニケーションも必須です。共助の取り組みも忘れないでください」とまとめて講演を終えた。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆