経産省による“5段階格付け制度”にも影響?「NIST SP800-171」の動向
──内海さんは、CISOを務めながらコンサルティング事業も統括されるお立場ですね。「NIST SP800-171」に関する書籍も刊行されていますが、関心の高まりを感じられていますか。
セキュリティのコンサルティングをしていると、最近は特に経済安全保障の流れもあり、「防衛産業サイバーセキュリティ基準へ準拠したい」「CMMC(Cybersecurity Maturity Model Certification)の認証を取得したい」といった相談が多く寄せられます。CMMCは、米国の国防総省が開発したサイバーセキュリティ成熟度モデル認証制度。防衛産業サイバーセキュリティ基準とCMMC双方のベースとなるものが、NISTが発行したセキュリティガイドライン「NIST SP800-171」です。お客様からこうした相談が寄せられる背景には、取引先が調達要件として定めていたり、感度の高い経営者が準拠を指示していたりするようなケースがあります。
外部でセキュリティに関する講演やセミナーを行う機会もあるのですが、やはり昨今注目の集まるサプライチェーンセキュリティをテーマとしてお話しすることが多いです。サプライチェーンの話をすると必然的に171にたどり着くので、関連書籍『サイバーセキュリティの新標準 NIST SP800-171』(翔泳社)を出すなどの活動も行っています。
──サプライチェーンセキュリティへの関心は、経営陣においても高まっているのですね。では、現況をどのように見られていますか。
日本は米国の制度に追随することが多いですよね。たとえば、クラウドサービスの認証制度「FedRAMP(Federal Risk and Authorization Management Program)」に対して、その日本版となるのが「ISMAP(Information system Security Management and Assessment Program)」。同様にCMMCや171に関して、日本で防衛装備庁が171を参考に2023年5月から適用を開始したものが「防衛産業サイバーセキュリティ基準」です。適用開始から1年が過ぎ、問い合わせなども本格化している感触を得ています。
近年、サプライチェーン攻撃はIPA(情報処理推進機構)が発表する「情報セキュリティ10大脅威」でも上位に取りあげられているように、とても重大な課題です。一方で、サプライチェーンと一口に言っても攻撃対象や手法はかなり幅広い。メーカーの子会社がサイバー攻撃を受けて生産ラインが停止した場合でも、ソフトウェア更新を通じてマルウェアが拡散された場合でも「サプライチェーン攻撃だ」と言われてしまいます。
日本に限らず、世界中でサプライチェーン攻撃対策のガイドラインが出されていますが、それらに共通している基本的な趣旨は「(サプライチェーン)全体でセキュリティを強化しよう」ということ。1社だけセキュリティを強化しても、サプライチェーンに弱いところがあればそこから侵入されて、影響が広範囲にわたってしまう。全体で目線を合わせるために出てきたのが171であり、日本政府も171をベースに基準を作っている状況があります。
このような動きがある中で、経済産業省が企業のサイバー攻撃への対応力を格付けする制度を2025年度に開始する方針を出しました。この制度もCMMCとかなり似ている部分があるため、きっと参考にしていると思います。
──この格付け制度にはどのような意義があるのでしょうか。
この格付けで一定のレベルを得ることが政府調達の要件になることが検討されているため、サプライチェーン全体でのセキュリティ強化につながると考えられます。今後は、官公庁の入札において「このセキュリティレベル以上でないと取引しません。入札に参加できません」といった基準ができることになるでしょう。
がちがちのセキュリティには限界も、優先順位を踏まえた“現実的”な対策
──このような動向は、企業の現場担当者にどう影響してくるのでしょうか。
グローバルにビジネスを展開している企業では、否応にも様々なセキュリティ基準に準拠せざるを得ない状況が生まれています。米国の取引先では米国の基準、英国の取引先では英国の基準に準拠する必要があります。
そうなってくると、各種の基準を守りつつ、うまく最適化を図っていかなくてはなりません。たとえば、いずれのセキュリティ基準も、保護対象の情報を厳格に守るためには、ネットワークのセグメントを分割してアクセスを制限し、境界はモニタリングするといった要件が課されてきます。とはいえ、これらを厳密に実施しようとすると、新たなストレージの導入も含め、かなりコストがかさみます。ネットワーク環境の構築はもちろん、監視対象が増えればログも増えるため、SIEM(Security Information and Event Management)のコストも増大してしまいます。
──企業におけるセキュリティ予算に限りがある中、どのような解決策が考えられますか。
理想としては、機密性の高い情報を扱う場合はオペレーションのために隔離した専用部屋を用意し、許可された人しか入れないように制限した上で、入退室を管理したり、部屋の中には監視カメラを設置したりといった物理セキュリティを施すことが必要です。そして、その中にファイルサーバーにアクセスできる専用端末があり、それは持ち出し禁止にするといった具合にがちがちのセキュリティ対策を行う必要がありますが、これは利便性を犠牲にする上、かなりのコストがかかってしまいますよね。
実際にここまで徹底することは現実的ではないので、我々は基準を満たす“最低限の環境構築”を支援しています。ファイアウォールやL3スイッチで最低限の通信制限をかけて、ログをモニタリングできるようにします。また、コスト最適化を図るため、そうした環境下でも一定のセキュリティ基準を満たしたクラウドサービスを提案するなどのサポートも行います。
オンプレミスを導入する場合は初期費用と時間がかかりますし、IaaS環境を構築するにしてもそれなりの運用費用がかかってしまう。そのため、SaaSも選択肢に入れて、それぞれメリットとデメリットを比較するようにしています。もちろん、お客様の優先順位を考慮しながら、一緒に選定を行います。
経営の“先”にセキュリティを考える
──対策においては、グローバル規模での知見も必要になりそうですね。
仰るとおりです。元々当社は日本人がイギリスのロンドンで創業した会社で、日本に逆進出したというユニークな成り立ちを持っています。私自身も6年ほどイギリスにいてエンジニアやセキュリティコンサルティングをしていました。主要メンバーは英語対応はもちろん、海外文化にも精通しているため、グローバル企業の支援には強みがあります。
日本はこれから人口減少がますます進むことを鑑みると、海外市場に目を向け、いかにビジネスを作っていくかが重要なカギとなります。そうなるとセキュリティもグローバル規模で考えていかなくてはなりません。海外拠点から本社の情報が盗まれるといったサイバー攻撃が相次いでいるように、サイバー攻撃は弱いところから狙われます。このような課題を抱える企業に対しては、日本国内だけではなく、現地法人も一気通貫でセキュリティガバナンスを構築することが重要であり、当社はその観点からも支持されています。
今でこそオンライン会議も併用していますが、我々は必要があれば直接海外拠点に出向くことが多いです。たとえば、グローバルなコンサルティング企業だと、国ごとに現地のメンバーが担当することで、コミュニケーションやサービスのクオリティにずれが生じてしまうこともあるでしょう。我々はポリシーをしっかり理解した上で、どの国に対しても同水準で支援できることが強みになっていると思います。
どの企業でもセキュリティの事業戦略や計画書を策定しますが、その時に“セキュリティだけ分かる”コンサルタントがセキュリティの支援を行ってもあまり意味がありません。ビジネス視点、経営視点でその企業が成し遂げるべき目標やゴールを把握しているからこそできるセキュリティ支援があると考えています。このような視点をもっていれば、セキュリティへ投資するにしても「やりすぎ」「足りない」など、過不足を経営の観点で判断することができます。
また、セキュリティはもちろん、システム障害や災害が起きたときにいかにビジネスを継続するかを包括的に考えることが非常に重要です。そのためには本当に重要なビジネスを見極め、「このビジネスは絶対に止めない。そのためのシステム投資はしっかり行う」「ここは多少止まっても許容できる」といった選択が肝となるのです。
セキュリティだけに捉われない「全体最適」を実現する支援
──経営視点を織り交ぜた、一気通貫の支援が得意とのことでした。具体的には、どのような支援を行っていますか。
我々はお客様を支援する時、まずはトップインタビューとして社長や副社長に「最も重要なビジネスは何ですか。どれほど厳しい有事においても守りたい資産は何ですか」とヒアリングします。ここではセキュリティにはこだわりません。
実際に当社が支援した製薬企業では、社長に「緊急性の高い薬を必要なときにすぐ出せるようにしたい。加えて、当社にとって重要な情報資産は研究データ。何十年と研究してきた成果を突然失うことになれば、それまでの投資が全部無駄になってしまう」と話していただきました。
そこで我々は、研究データを消失してしまうシナリオを調査した上で対策の支援を実施しました。当然ながらデータのバックアップを徹底し、冗長化はもちろん、バックアップデータは改ざんされないようにするなどの対策を施します。加えて、失いたくない研究データのなかには培養中の細胞など、温度管理が必要なものもあったため、停電もリスクシナリオに浮上しました。サイバー攻撃対策ではなかなか出てこないと思いますが、このケースでは自家発電の導入も提案しています。自家発電はかなりの投資金額になりましたが、3ヵ月後には社長の判断で導入が決まりました。
他にも製造業では、OT環境までSOCの監視対象の目が届かないことがあります。しかし製造業にとって生産が止まることが最も怖い。そのため、SOCの監視対象にOT環境も入れるべきではないかと助言することもあります。
──今回は171の動向から伺いましたが、企業のセキュリティ担当者はまずどこに着目して、どう対策していくべきでしょうか。
最初は「リスクベースアプローチ」で問題ありません。特にランサムウェアの脅威が高まっているため、まずはバックアップの見直しやEDRの導入を検討することが初期の対策になるでしょう。
様々な対策を進めていくなかで、どこかで「我々は正しい道を選んでいるだろうか。最初は対症療法的に進めてきたが、全体最適できているだろうか」と疑問に感じるタイミングがあるはず。そういったタイミングで、171のような基準も駆使しながら、第三者から包括的に今の自社の状況を評価してもらうことが重要だと思います。
当社はこのようにセキュリティに関するちょっとした悩み事を専任のコンサルタントとして定期的にヒアリングし、課題解決に向けて並走するといったアドバイザリー支援も行っています。こうした第三者が提供するサービスの活用も視野に入れて包括的にセキュリティ対策を考えていくことが今後求められてくるのではないかと思います。
また、セキュリティ担当者はサイバーセキュリティ対策だけでなく、コンプライアンスや内部不正のモニタリング、IT障害対応なども見なくてはなりません。これらは担当が分かれているかもしれませんが、インシデント発生直後は今起きていることがサイバー攻撃によるものなのか、それともシステム障害なのかといった切り分けが難しいことも多いため、プロセスを分けるのはナンセンスだったりします。そのため、セキュリティ担当とコンプライアンスチームとBCPチームが協働するなどといった「最適化」に向けた動きは今後必然的に進んでいくと考えています。
──最後に読者に向けてメッセージをお願いします。
今回は、NIST SP800-171に軸足を置いてお話ししましたが、標準的なセキュリティのガイドラインやフレームワークは他にもあるので、特徴を踏まえ自社に合うものを選択し、折に触れて確認することをお勧めします。専門家の知恵を結集した“血と汗の結晶”みたいなものですから使わない手はないです。
また、セキュリティはビジネスと連携していくことが大切なので、ビジネスや経営視点が分かる人材は今後求められていくことでしょう。私たちは経営が何を止めてはいけないと考えているのか、何を担保すべきかをしっかり調査して対応しています。困ったことがあればぜひご相談ください。
NIST SP800-171セキュリティ構築支援コンサルティングサービス
ニュートン・コンサルティングでは、NIST SP800-171への準拠に向けたセキュリティ構築の支援を実施しています。まずは、トップインタビューで投資や育成などのセキュリティ戦略をヒアリングし、その後、CUIの定義/可視化、現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装を支援。米国内での製品/サービス提供を行う組織はもちろん、グローバル・スタンダードに基づきセキュリティを強化している組織の方も対象としています。
