●サイバーセキュリティがリスクマネジメントを支える。

サイバーセキュリティは、サイバー領域に関わるリスクマネジメントです。では、そもそもリスクマネジメントとは何でしょう。それは組織の存続や成長、そして事業の成功のために行われるべき企業活動を意味します。

組織・事業戦略とリスクマネジメントは一体のものです。経営層や戦略マネジメント層は、リスクマネジメントやサイバーセキュリティの基礎を学ぶ必要があります。戦略や計画を立案する際、サイバーセキュリティはたいへん重要な要素です。組織戦略のリスクマネジメントにサイバーセキュリティを組み込んだ「統合モデル」の確立が求められます。

 

 

●戦略担当とリスク担当は同じ部門に。

組織を構成する上では、いわゆる「戦略企画室」のように戦略立案を担う部門と、「リスク統括室」のようにリスクマネジメントを担う部門は統合するといいでしょう。リスクマネジメントの目的はあくまで組織の存続、成長、事業戦略の成功にあるからです。

 

 

●サイバーセキュリティの範疇は幅広い。

近年では、多くの組織や企業において、サイバーセキュリティを主幹とする担当チームが構築されています。ただし、サイバーセキュリティに求められる機能は、先端技術の領域から人事関係まで本来は幅広いものです。そのため、各部門の役割分担を明確にして、それぞれの専門領域の活動を有機的に結びつけるプログラムマネジメントが必要となります。それは常に、上位概念としての組織戦略、事業戦略に立脚したものでなければなりません。つまり、組織や企業には、「戦略＆リスク」の統括部門が設定する戦略目標を実行可能にする「統合型セキュリティマネジメントシステム」が必須なのです。

 

 

●CISO (Chief Information Security Officer) の任命がカギを握る。

マネジメントシステムのオペレーションを常にアップデートし、適切に機能させるためには、プログラムマネージャーの役割を果たすCISO(Chief Information Security Officer)のポジションを設けるべきでしょう。CISOの役割は以下のように整理できます。

・組織や事業戦略を踏まえたIT戦略の理解
・組織や事業戦略、IT戦略を踏まえたセキュリティ戦略の立案
・セキュリティ戦略を実現するための目標の設定
・セキュリティ目標を達成するためのチームの組成
・具体的な取り組みに対するリソースの割り当て（予算・人員・ツールなど）
・個々の専門領域を有機的に機能させるためのリーダーシップ

 

一般に、CIO (Chief Information Officer) やCISOは技術部門から任命するケースが少なくありません。しかしながら、上記を踏まえると、事業戦略や組織計画などの実践経験を持ったリーダーをアサインすることが推奨されます。

 

CISOの重要な役割として、上位の戦略に立脚したセキュリティKPIを策定することが挙げられます。企業のセキュリティ状況を、経営層が正しく読み取れるように「指標化」するわけです。セキュリティKPIは主に４つの観点から設定できます。

 

(1) カバー率
(2) 適時率
(3) 進捗率
(4) ベンチマーク値

 

それぞれどのような指標が自社にふさわしいのかは、業種や置かれている状況により異なります。いずれにしても共通の指標を作り、その値に対して経営層とのコンセンサスを構築することが、KPIを用いたセキュリティマネジメントでは極めて重要です。

 

 

●マネジメントの対象となる重要11項目

サイバーセキュリティを実践する方法は、組織が置かれている状況、業種などによるため、一様ではありません。以下にマネジメントすべき重要項目を解説します。

 

1.デジタル資産管理
組織が保持する資産（業務システムを含む）、運用しているデバイスなどを把握し、各々に関するリスクシナリオの特定とリスク評価を行います。

 

2.セキュリティ管理施策の策定と実施
評価されたリスク値に応じて適切なセキュリティ管理施策を策定し、実装・運用します。管理施策には、セキュリティ製品の導入のほか、セキュリティルールの策定といった組織・人的施策が含まれます。求められるセキュリティ指標は、「カバー率（どの程度特定できているか）」とその情報の新鮮度（どの程度最新の状態を把握できているか）です。

 

3.セキュリティ監視
サイバーセキュリティのリスク源は、主に外部のサイバー犯罪者であり、基本的には不特定です。このためセキュリティの状況について、物理空間・サイバー空間ともにリアルタイムに把握しておく必要があります。求められるセキュリティ指標は、「検知までの時間（どの程度早期に検知できるか）」と「検知率（どの程度確実に検知できるか）」です。

 

4.インシデント対応
一般的にはCSIRTと呼ばれているものです。監視チームが検知した異常から、どのような事件が起きていて、組織にどのような影響を与えるのかをできるだけ早期かつ正確に推定します。それを危機管理（クライシスマネジメント）へエスカレート（格上げ）して、意思決定に沿って適切に対処すること、またその過程で内外と適切なコミュニケーションを行うことが求められます。特に資産管理チームとは早期の連携が必要です。そうしないと、被害の対象となった情報資産が特定できなかったり、特定するのに膨大な手間がかかってしまいます。事件発生の早期段階で情報資産の状態を迅速に確認できるよう、日頃から連携のトレーニングを行いましょう。

 

5.クライシスマネジメント
インシデント対応チームから報告を受けて、組織として意思決定するにあたり、経営層や各事業の責任者層が関与してクライシスマネジメントを行います。この際、対外的なコミュニケーションや法執行機関等との連携が必要となるため、法務部門、広報部門からもメンバーを選定するのが理想です。事件への対処が長期化することが見込まれる場合には、人員を増やす後方支援も必要になるため、人事部門からもメンバーを選任するといいでしょう。

 

6.事業継続マネジメント
昨今のサイバー犯罪では、情報の漏洩のみならず、事業の根幹であるシステムの破壊を意図した攻撃も増えています。そうしたケースを想定して、事業継続の観点から重要業務への影響を分析し、求められる期間内にシステムを復旧させることが主なミッションとなります。この際、事件を適切に調査するために証拠を保全する作業が、復旧作業と相反する場合もあります。証拠保全に対する正しい考え方や手続き、手順を理解しておくのが理想です。

 

7.製品およびサービスのセキュリティ
自社が提供する製品やサービスの安全性を担保するものです。製造工程と出荷後工程でその機能は異なります。前者では、適切なセキュリティ設計のための脅威分析とリスクマネジメントを行い、「セキュリティバイデザイン」の考え方に立脚する必要があります。後者は、安全性を阻害する事態が出荷後の製品において発生した際に適切に対応するものであり、ソフトウェアにおける「脆弱性」の対応もこれに含まれます。

 

8.サプライチェーンマネジメント
サプライチェーンマネジメントには２つの観点があります。ひとつには、自社製品の安全性を阻害する要素が調達先などから発生しないようにすること。もうひとつは、自社において安全性を阻害する要素により得意先のサプライチェーンから外れてしまわないようにすることです。いずれも、サイバーセキュリティの範疇を超えたマネジメントが必要となるため、セキュリティの専門チームだけではなく、現場で調達の判断を行うチームを中心に組織を編成することが推奨されます。

 

9.セキュリティ啓発
サイバーセキュリティは、外部要因によりリスク値が変化します。そのため、リスク値が上昇した際には、速やかに従業員などに対して啓発を行う必要があります（詐欺メールやマルウェア添付型メールへの注意喚起など）。これを実現するには、ロングスパンのマネジメント・サイクルであるPDCAモデルとは別に、OODA（Observe Orient Decide Act）と呼ばれる機動的なマネジメントサイクルが必要です。したがって、経営層はCISOに対して十分な権限移譲を行っておくことも求められます。啓発を実施しようとするたびに経営者の承認を得なければならないプロセスでは、時機を逃して啓発が役に立たなくなる可能性が高まります。

 

10.人財育成、教育、訓練
サイバー犯罪の被害がいつ発生するか予想するのは不可能です。また日常的に発生するわけではないため、いざ事件が起きた場合、組織内部ではしばしばパニックに陥ってしまいます。こうした状況を避け、事件発生時に適切に行動するために普段から訓練しておきましょう。特に、コミュニケーションの不備により対応を誤るケースが多いため、前もってその手順を文書化し、それに基づいて訓練することが重要です。また、サイバー犯罪はセキュリティの弱い部分を突いてきます。このことから、組織内のウィーケストリンク（弱点）を作らないように、全従業員のセキュリティリテラシーを高く保つ教育が欠かせません。

 

11.ITオペレーショナル・エクセレンス
PマークやISOの審査でも必ずチェックされるOSの最新化やソフトウェアのバージョンアップ、アカウントの棚卸しなど、日常的な運用の中で行うべき予防措置が確実に実施されているかの検証が重要です。