「15分だけでも机上演習を」IT/OTセキュリティの格差広がる、IPA青山氏が求めるレジリエンス強化
重要インフラのサイバーレジリエンス強化に向けた戦略
サイバー攻撃への対策は、発生の抑止を中心とした考え方から「レジリエンス(回復力)」へと変化している。それは、組織がサイバー攻撃に直面した際、迅速かつ柔軟に回復する能力、そして“インシデントから学ぶ”力のことだ。IPA(情報処理推進機構)産業サイバーセキュリティセンター(ICSCoE)専門委員であり、名古屋工業大学で客員助教を務める青山友美氏は「概念を理解し、セキュリティ戦略に取り入れる必要がある」と語る。そのために有効とされる、机上演習の活用、社内外のセキュリティ・ステークホルダーとの連携について紹介した。
DX時代に求められるセキュリティ
近年よく聞かれるようになった「レジリエンス」。日本語では強靭性、弾力性、柔軟性などと訳されるが、要は「状況に柔軟に対応し、継続可能な状態に戻る力」のことだ。特に「サイバーレジリエンス」といえば、「予期しない事象に対処する力=対処能力」を意味することも多いが、「変化を捉える力=監視能力」「何が起こり得るのか予測する力=予測力」「過去から学び、改善する力=学習力」といった能力も求められると青山氏は指摘する。
では、どうすればこれらの能力を高め、レジリエンス力を高めていくことができるのか。手始めにDX時代にサイバーリスクがどのように変化し、どのようなセキュリティが求められているのかを把握することが大切だろう。
下図の2020年の調査結果[1]では、ヒヤリハットを含めて「情報漏えいが少なくとも一度は発生している」と答える組織が82%もあった。DXによってサイバーリスクがより顕在化しつつあることが伺える。そして、DXによりサプライチェーンなど社外システムとの依存性が高まっているにも関わらず、「社外システムに対するセキュリティ管理が未整備」と答えた組織は58%にも上る。つまり、DXのスピードに対し、必要なセキュリティのポリシーや体制などの整備が十分に整っていないというわけだ。
青山氏は「約60%の組織が、セキュリティとDXのバランスが取れないまま走っている状態」と警鐘を鳴らす。その背景には、DXにおけるセキュリティチームと経営層の価値観に齟齬が生じていることがあるようだ。ITセキュリティを担当する部門と経営層の間で、「優先順位が合意できている」と答えた組織はわずかに16%に過ぎない。
そしてDXのプロジェクトについて「予算がセキュリティに割り当てられている」と回答したのは35%程度であり、社外システムへの依存性が増しているにも関わらず、セキュリティ管理体制の未整備が60%、かつ予算すら割り当てていない組織が35%という状況にあるという。
サイバーリスクが顕在化しつつあるにも関わらず、十分なセキュリティ対策を取れていないだけでなく、上層部の理解もなく、予算もないために当分対応もできないという状況にある。その上、リスクアセスメントもできていないまま、DXだけがどんどん進んでいる状態と言えるだろう。
なお、グローバル全体のトレンドとして、セキュリティに関する規制や法律の整備が国内外で進むにつれ、「セキュリティはIT部門だけでなく組織全体で対応するもの」と捉え方・考え方が変わってきているという。たとえば、米国の政府機関NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行する『サイバーセキュリティフレームワーク(CSF)』では、元々挙げられていた「5つのコア機能=特定・保護・検知・対処・復旧」といった一連の流れを支える機能として「ガバナンス」が加わった。
つまり、IT部門だけでセキュリティのPDCAを回すだけでは不十分であり、組織の責任者がリーダーシップをとってセキュリティの「ガバナンス」を担保する必要があるという見方だ。しっかりと組織のリスクを理解した上でのセキュリティガバナンスが求められている。
青山氏は「セキュリティのあり方もDXと共に変わっていくべき。ガバナンスの重要性が高まっていることを踏まえ、サイロ化しやすいセキュリティ・IT業務の枠を破っていくこと、つまりは『セキュリティトランスフォーメーション』が大切」と語り、そのポイントとして次の3つを挙げた。
1. サイバーリスクを経営リスク管理の一部として組み込むこと
サイバー特有のリスクの考え方・捉え方はあるが、経営全体におけるサイバーリスクが占める比率を考える。たとえば、リスクマトリクスで表現したときにサイバーリスクがどこにポジションするのか、「組織のリスクマネジメントにおけるサイバーセキュリティ」として捉えることが重要だ。
2. IT部門と経営層が、保護すべき資産と業務について優先順位を合意すること
サイバーセキュリティに関する優先順位について、社内ステークホルダー間で合意することは欠かせない。特にIT部門はイニシアチブを取って優先順位を考えるべきだ。さもなくば部門やステークホルダーがそれぞれの価値観、考え方に基づいて優先順位を勝手に理解し、調整なきまま業務にも反映させてしまう恐れがある。
3. レジリエンスの設計・デザインを協力して実施すること
レジリエンスはいざというとき、すぐに発揮できるものではない。システムに関連する組織やプロセスをデザインする過程で、「どのようにリスクに対応するのか」「どうやって異変から学習するのか」を組み込んで考える必要がある。そのためには、DXプロジェクトの初期段階からセキュリティ担当者がしっかりと関与することが重要だ。
[1] 「Digital Transformation & Cyber Risk: What You Need to Know to Stay Safe」(Ponemon Institute,2020)
この記事は参考になりましたか?
- Security Online Day 2024 春の陣レポート連載記事一覧
- この記事の著者
-
伊藤真美(イトウ マミ)
フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
