サイバーハイジーン基礎の基礎~第3回 ガバナンス実現に求められる共通の物差し(KPI)
第2回にて、多くの組織が「裸の王様」状態である、と解説させていただきました。この裸の王様の状態から脱却し、経営サイドの責務となる業務可用性を維持すること、さらに安全を宣言し、説明責任を果たす上では、企業ガバナンスが求められます。今回は、このガバナンスを実現するために「共通の物差し」が重要であることを解説させていただきます。
サプライチェーンまで含む複雑怪奇なマルチドメイン環境
筆者も日々、大規模組織のお客様とさまざまな会話をさせていただいておりますが、どの打ち合わせでもほぼ例外なく出てくる言葉が「ガバナンスの実現」という言葉です。昨今のセキュリティ事案を鑑みますと、犯罪組織はセキュリティレベルが一般的に高い本社(HQ)を狙うことは、ほとんどありません。というのも攻撃の効率がよくないので、ネットワークが相互接続しているであろうグループ会社やサプライチェーンに狙いを定め、攻撃を仕掛けてくるのが一般化してきております。
そのため、「ガバナンスを実現する」と題目を掲げた瞬間に、最低でも資本関係があるすべての国内外グループはもとより、ネットワークが相互接続されたサプライチェーンまで視野を広げたガバナンスが否応なしに求められます。アーキテクチャ的にはOA/OT/IoTが混在している環境で、さらに違う視点でみると、物理環境、仮想環境、コンテナ、サーバレス、さらにはオンプレミス、クラウド、リモート(ゼロトラスト)など、ガバナンスの範囲は複雑怪奇の極まりない状態です。弊社では、このような環境を一言で「マルチドメイン環境」と要約しております。
マルチドメイン環境をスコープに、KPIでガバナンスを実現
さて、ガバナンスの実現においては、このマルチドメインをスコープにいれたカバレッジ(適用範囲)が必要です。さらにはセキュリティ要求機能として、多くの大規模組織が、グローバルサプライチェーンでビジネスを推進する上で積極的に参照を開始した「NIST CSF(NIST サイバーセキュリティフレームワーク)【注1】」や「CIS Controls v8【注2】」などへのアライン(準拠や参照)が求められます。
これらのアラインの際に重要なのが「KPI」となります。ガバナンスの実現において、上述のようなベストプラクティスやフレームワークにアラインしつつ、組織が掲げるセキュリティポリシー(設定や運用ルールなど)をHQによって可視化と制御(コントロール)を実施していくわけです。
ここで「やっている」でのではなく、「実現できている」を評価するグローバルな「共通の物差し」がKPIなのです。しかしセキュリティの世界において、このKPIに沿った運用は、既存のアーキテクチャや体制、プロセス、すなわち「人、物、プロセス」が足枷となり、そこで定めたKPIの可視化と制御をHQが実現するのが非常に難しい、という新たな壁にぶつかります。
この難しいとされるサイバー(情報)セキュリティKPIの対応について、すでに先進的グローバル組織は運用フェーズに入ってきております。次回、この辺りをもう少し掘り下げて解説させていただきます。
【注1】NIST CSF
オバマ大統領の大統領令に基づき、米国国立標準研究所(NIST)が政府や民間から意見を集め、2014年に公開したサイバーセキュリティフレームワーク (CSF:Cyber Security Framework)。これによりISMSだけでなく、新たな選択肢が加わった。現在、セキュリティフレームワークの中で一番手の選択肢として、日本でも多くの企業・組織で採用されている。2018年に改訂版のバージョン1.1が公開。日本ではIPAがNIST CSF翻訳版を出している。「サイバー攻撃対策に特化」「広く企業に適用できるように要件を汎用化」「リスクベースアプローチを採用」「フレームワーク自体を無償公開」といった特徴がある。
【注2】CIS Controls v8
米国の非営利団体「CIS」(Center for Internet Security)が公開したCIS Controlsは、組織で最低限行うべきことに着目し、技術的な対策153項目を整理したガイドライン。その最新版が「CIS Controls v8」で、テレワークの増加やクラウドサービスの活用などの環境変化を受けて改訂。自社のセキュリティに不安があるが、取り組み方が分からない企業がCIS Controlsを参照することで、セキュリティ対策のポイントを押さえられる。
<参考>第1回、第2回も合わせてお読みください
第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策
第2回 裸の王様とKPIについて
タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)
タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。
サイバーハイジーン基礎の基礎の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。