サイバーハイジーン基礎の基礎~第2回 裸の王様とKPIについて
第1回では、大規模組織におけるWindows10のFUやQU適用における多くの課題や、非管理端末がさまざまな業種の中間値として15%程度も存在する点などを解説させていただきました。先日のことですが、とある上場企業のCIOに、これらの実態についてお客様の実環境で分析したデータを報告する機会がありました。そこでCIOが開口一番におっしゃったのが「これは裸の王様だな」という言葉です。さて、この「裸の王様」とは一体何を意味するのか、今回はこのIT領域における「裸の王様」について解説させていただきます。
現場サイドと経営サイドが求める「やっている」の認識が乖離?
CIOやCISOといった立場になりますと、業務の可用性維持や、何か発生した際の安全宣言、説明責任が常々問われ続けます。しかし現場サイドに「うちは大丈夫か?」と質問すると「大丈夫だと思います」という回答や、「〇〇の脆弱性確認はちゃんとやっているか?」と問うと「やっています」という回答が来ます。これは皆さんも日々、経験されていることではないでしょうか?
経営サイドは常に正確な情報を得て、さまざまな事項に対して迅速な意思決定を求められます。しかし現場サイドから報告される情報は、残念なことに往々にして「曖昧な情報」であることが実情です。この「やっています」とは、たとえば子供に対して親が「宿題はちゃんとやったの?」と質問すると、子供は「やったよ!」と回答するのと同義といえるでしょう。もしかしたらノートや教科書しか開いていない? かもしれません。この「やっている」と、経営サイド(親)が求める「実現できている?」には非常に大きな乖離があります。
話を戻しますと、多くの大規模組織で非管理端末率が15%もあり、FUやQU適用率が50%や60%程度にも関わらず、「ちゃんとやっているか?」という質問に対して、業務自体(宿題)は「やっている」は間違いではないのでしょう。とはいえ経営サイドが求める評価指標(KPI)の観点から、「実現できているか?」に対しては「実現できていない」という事実が浮き彫りになります。これはセキュリティの世界だけではなく、一般的なIT運用の領域でも同様のことが言えるわけですが、残念ながら多くの組織が経営サイドの期待値には応えられてはいない、というのが実態です。
CIOが放った「裸の王様」という言葉の裏側の意味
さて、CIOが「裸の王様だな」と放った言葉は、現場サイドに対するメッセージでした。
現場サイドは、この実情を今回の分析をせずとも日々の業務で「理解していた」事実があった、ということです。しかし、現場サイドから見ると、限られたIT&セキュリティ予算で、全世界の非管理端末率を0%に近づけ、FUやQUの適用率をコンスタントに100%実施する。また適用時間を短縮し、有効帯域の圧迫を防ぎ、在宅勤務端末も同様に対応し、さらにシステムやユーザ業務の可用性劣化を防ぐ……といった、すべてのことを実現するのは不可能だとわかっており、また半ば諦めているのです。
ですからCIOの放った「裸の王様」とは、このような実態を現場サイドは分かっていたのにも関わらず、報告できずに苦しんでいた、表現を変えますと「臭い物の蓋を閉めていた」、あるいは「蓋を閉めざるを得なかった」という事実に対する愛情のこもった言葉だったわけです(CIOの後日談)。
このCIOが放った「裸の王様」発言がきっかけで、経営サイドと現場サイドが「評価指標(KPI)」ベースで現実を直視し、対応に向けた検討の大きなトリガーとなりました。そして同社のエンドポイント管理の高度化プロジェクト名は別名「裸の王様プロジェクト」として、スタートを切ることになりました。
次回はこの「裸の王様」にならないための「共通の物差し」とは何か? について解説させていただきます。
<参考>第1回も合わせてお読みください
第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策
タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)
タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。
サイバーハイジーン基礎の基礎の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。
