サイバー攻撃の脅威が拡大する中、最高情報セキュリティ責任者(CISO)とサイバーセキュリティチームの役割も、「守り役」から「組織を触発するインフルエンサー」へと大きく変貌しようとしています。
本レポートでは、2022年以降を見据え、経営幹部や取締役会のレベルでCISOが優先的に問題提起すべき8つの課題を選定し、それぞれの課題について検討すべき施策を考察しました。
CISOが検討すべき8つの課題
1.戦略的なセキュリティ議論の拡大
競争優位や長期的な成功を見据えたサイバーリスク管理には、取締役会や経営幹部のリーダーシップが求められます。経営幹部の認識を高めるために、CISOやサイバーセキュリティチームは努める必要があります。
- 機密性と可用性を軸とした従来のセキュリティ思考から脱却し、完全性とレジリエンスをいかに確保するかを検討する。
- 組織や顧客データの保護、リスク管理、短期・長期の経営戦略を守るセキュリティ戦略について、社内の主要なステークホルダーと連携する。
- コストやスピードよりも現実味のある全社的なリスクに着目するよう、セキュリティに対する経営幹部の意識を変える。
- 業務の重要業績評価指標(KPI)や重要リスク指標に一喜一憂せず、インシデントの種類、社内外のプログラムの差、データ関連の施策(進行中、計画中、承認待ち)といった基礎データから見えてくるテーマや動向に着目する。
- 構想・設計段階からセキュリティを組み込んだ場合と、そうでない場合に起こり得る被害についての意識啓発を通じ、業務部門との関係を構築する。
2.成功の決め手:不可欠な人材とスキルセット
サイバーセキュリティチームの醸成のために検討すべき主な施策
- 情報発信のあり方を変える。技術論ではなくビジネスを語る。
- 従来からのサイバーセキュリティの定義にとらわれず、社内の他部門との関係構築、社内関係者とのネットワークづくりを続ける。
- 社内のサイバーセキュリティチームの通常業務に、シナリオ思考、テスト、対応を組み込む。
- コンプライアンスは、策定したセキュリティプログラムの重要な成果であって、チームの存在理由にすべきではない。
- 伝道者(エバンジェリスト)を担う。セキュリティの重要性を説いて回り、社内のモチベーションを高める。
- 「サイバーセキュリティは組織の重要な要素の1つで、組織のDNAに刻み込まれている」という考えのもと、セキュリティの役割についての意識改革を促す。
3.クラウド時代にふさわしいセキュリティ
クラウド環境は、導入から監視、復旧に至るまで自動化が求められるため、必然的に自動化への依存度が高まります。クラウド化が加速する中、自動化のツールやプロトコルを中心にクラウド上にある自社データのセキュリティ確保に備える必要があります。
クラウドのセキュリティ確保のために検討すべき主な施策
- 導入・監視・復旧を中心に、人によるプロセスを排除し、クラウドのセキュリティを自動化する。
- 集権型のクラウドセキュリティチームを編成し、メンバーには開発系の人材を揃えるとともに、従来のセキュリティのスキルを持った統括役を置く。
- 責任共有モデルを利用する場合、クラウド事業者とユーザー企業の間で、クラウドのセキュリティにおける責任範囲を明確にする。
- 数々の規制や制度に対応するポリシーチェック機能があらかじめ設定されたCSPMツールを活用する。
- 自社の幅広いクラウド戦略に連動するインシデント対応プロセスを構築する。
4.ゼロトラストの中心軸となるID管理
ゼロトラストの姿勢とアーキテクチャを採用し、その中心軸にIAM(ID・アクセス管理)を据える必要があります。そして、全社的なゼロトラストのアーキテクチャを最も効果的に実装する方法を検討し、経営や業務の優先課題と整合性のある原則づくりに取り組む必要があります。
ID・アクセス管理のために検討すべき主な施策
- 一部のユースケースを対象に、パスワードレス認証の実証もしくは導入に着手する。
- IDプログラムに健全なデータとアナリティクスの基盤が整っていることを確認する。
- ゼロトラストをサイバーセキュリティの戦略全体に組み込む。
- 何度も本人確認の必要がない、ストレスの少ない環境を作り、ユーザー・顧客体験の充実に注力する。
- セキュリティ機能を自動化し、高度なスキルを持つプロフェッショナルがより戦略的な活動に専念できる体制を作る。
- ゼロトラストモデルの導入は長期にわたる取組みで、実装には時間がかかると覚悟する。
5.セキュリティ自動化の活用
セキュリティの自動化により、セキュリティアナリストの生産性向上、インシデント検知・対応の時間短縮、スケーラビリティの獲得のほか、リスクを可視化することで統制も強化されます。また、すでに導入済みのツールに高度な自動化機能が含まれている可能性もあるため、社内の人材・ツールの見直しも重要です。
セキュリティ自動化のために検討すべき主な施策
- インシデントではなく脅威に重点を置き、セキュリティの自動化に先手を打って取り組む。
- 日常的な作業を自動化し、人材とコグニティブスキルをより重要な活動に振り分ける。
- 自社が保有する技術や自動化に精通した社内人材を活かす。
- SDLCの重要な節目にセキュリティ自動化を組み込む。
- 実行可能とわかっていることについては、限界に挑み、失敗を恐れず、そこから得た教訓をただちに次に活かす。
- ソリューションの過剰な設計を避け、自動化ツールであっても、問題解決につながらないものや自社のビジネスバリューに寄与しないものは導入しない。
6.プライバシーフロンティアの保護
GDPR、CCPAなどプライバシーに対する意識が世界的に高まっており、プライバシーとセキュリティ両面でのリスク管理が必要です。規制要件の対応だけでなく、「プライバシーファースト」「プライバシー・バイ・デザイン」といった、組織文化の変革が求められています。
プライバシーリスク管理のために検討すべき主な施策
- 個人データ収集になぜ同意が必要か、消費者の権利を尊重しなければ経営にどのような悪影響が生じるのか、経営幹部や業務部門の管理職を対象とした啓発活動が重要となる。
- 経営幹部と業務部門トップが掲げる優先課題やビジョンと、データプライバシープログラムとの整合性を確保し、収集、同意、利用の各段階ですべての関係者の認識を合わせる。
- プライバシーに関する規制や規制当局の要求を補足・補完するものとして、プライバシー・バイ・デザインの標準ルールを採用する。
- 明文化されたポリシーを検証可能なビジネス慣行に落とし込むことで、消費者の権利やデータの保護への取組みについて消費者や規制当局の理解を求める。
- データプライバシー管理技術ツールを導入し、プロセスの自動化、規制への適合、対応の迅速化、人為ミスの削減に取り組む。
7.境界を越えたセキュリティ対策
サードパーティなど複数のパートナーと合意したフレームワークを持つことはリスクを最小限に抑える一助となります。また、AIと機械学習を活用し、シャドーIT問題への対処やサードパーティのSaaS製品に対する監視強化のほか、チャットボットの導入、リスク管理プロセスなどの自動化も有効な手段です。
エコシステムのセキュリティ確保のために検討すべき主な施策
- 規制は絶えず進化し、今後もサプライチェーンのセキュリティに重点が置かれるため、規制要件には常に目を光らせる。
- コンプライアンス主義から運用に重きを置いたセキュリティにエコシステムを移行するための手段としてCCM(統制の継続的モニタリング)を検討する。
- セキュリティを強化するとともに、スキルの高いセキュリティ人材により戦略的な業務に専念してもらうため、AI/機械学習活用の機会を模索し、サプライチェーンのセキュリティ関連業務を自動化する。
- 制御システムのサプライチェーンを見落としてはならない。ITとOT(オペレーショナルテクノロジー)のシステムが融合するにつれ、業務データを狙う攻撃者が制御システムの弱点を突く可能性が高まる。
- リソースが豊富な大手企業は、自社の環境だけでなく、広範なエコシステムまで保護するセキュリティ対策を講じ、能力増強に取り組む必要がある。
8.サイバーレジリエンスを巡る議論の見直し
サイバーレジリエンス実現のため、CISOは、セキュリティ侵害のリスクや影響、サイバーレジリエンスの重要性を経営幹部に説明する必要があります。経営幹部、財務、マーケティング、その他のステークホルダーからの賛同と支援を得て、自社の主な業務プロセスと、事業継続のための戦略の見直しを図ります。
サイバーレジリエンスのために検討すべき主な施策
- 重要機能が停止した場合にいつまで事業を継続できるか、顧客にどのような影響を及ぼすかを検討する。
- 重大なサイバーセキュリティインシデントがサプライヤーへの依存にどのような影響を及ぼすのかを分析する。
- サイバーセキュリティとサイバーレジリエンスのテーマを役員レベルで議論する。
- 現行のレジリエンス計画がサイバー攻撃対策の目的に適合し、適切な対応措置を講じる内容になっているかを確認する。
- 事前の想定が誤っていたかもしれないと認める謙虚な姿勢を忘れず、即座に運用可能な代替計画を用意しておく。
- 定期的に実施する現実的な演習を通じ、経営幹部にはサイバー攻撃発生時の危機管理能力を高め、各自の役割を明確にしてもらう。
- 基本を重視しつつ、検知能力や迅速な対応・復旧能力への投資も怠らない。
- 社内に余力や能力がない場合は、しかるべき専門家と共同で取り組む。
終わりに~重点分野(IIoT、5G、AI)の考察
IIoT(Industrial Internet of Things)
産業分野向けのIoT(モノのインターネット)は今後も拡大を続け、クラウドにつながった何百万ものセンサーや機器、その他のネットワーク接続端末がサイバー攻撃を仕掛けやすい脆弱な入り口となる恐れがあります。企業やスマートシティといった環境にこうした機器を戦略的に展開する場合、人員、ポリシー、手順、テクノロジーという幅広い項目のほか、異常監視、ID管理、ゼロトラストなどの課題も検討が必要です。
5Gネットワーク
5Gネットワークは、高速、大容量、低遅延、全体的な先進性の面で4Gとは根本的に異なります。これまでとは異なるセキュリティ上の課題も出てくるため、非常に高度なセキュリティアーキテクチャや監視、統制が必要になります。こうした課題のなかには、重要な技術要素やインフラの調達を巡りすでに顕在化しているサプライチェーンの地政学的な緊張を悪化させるものもあります。
AI
近い将来、サイバー攻撃を仕掛ける犯罪者は、RPAや機械学習、ディープラーニングを活用する可能性があります。攻撃者はAIを利用しますが、そこに境界線はありません。短期的には、こうした犯罪者がAIを駆使してサイバー攻撃を産業化し、ますます優位に立とうとするはずです。実はこうした動きはすでに始まっており、今後も続く見込みです。
※本レポートの全文は、下記のPDFよりご覧いただけます。
