セキュリティだけに捉われない「全体最適」を実現する支援
──経営視点を織り交ぜた、一気通貫の支援が得意とのことでした。具体的には、どのような支援を行っていますか。
我々はお客様を支援する時、まずはトップインタビューとして社長や副社長に「最も重要なビジネスは何ですか。どれほど厳しい有事においても守りたい資産は何ですか」とヒアリングします。ここではセキュリティにはこだわりません。
実際に当社が支援した製薬企業では、社長に「緊急性の高い薬を必要なときにすぐ出せるようにしたい。加えて、当社にとって重要な情報資産は研究データ。何十年と研究してきた成果を突然失うことになれば、それまでの投資が全部無駄になってしまう」と話していただきました。
そこで我々は、研究データを消失してしまうシナリオを調査した上で対策の支援を実施しました。当然ながらデータのバックアップを徹底し、冗長化はもちろん、バックアップデータは改ざんされないようにするなどの対策を施します。加えて、失いたくない研究データのなかには培養中の細胞など、温度管理が必要なものもあったため、停電もリスクシナリオに浮上しました。サイバー攻撃対策ではなかなか出てこないと思いますが、このケースでは自家発電の導入も提案しています。自家発電はかなりの投資金額になりましたが、3ヵ月後には社長の判断で導入が決まりました。
他にも製造業では、OT環境までSOCの監視対象の目が届かないことがあります。しかし製造業にとって生産が止まることが最も怖い。そのため、SOCの監視対象にOT環境も入れるべきではないかと助言することもあります。
──今回は171の動向から伺いましたが、企業のセキュリティ担当者はまずどこに着目して、どう対策していくべきでしょうか。
最初は「リスクベースアプローチ」で問題ありません。特にランサムウェアの脅威が高まっているため、まずはバックアップの見直しやEDRの導入を検討することが初期の対策になるでしょう。
様々な対策を進めていくなかで、どこかで「我々は正しい道を選んでいるだろうか。最初は対症療法的に進めてきたが、全体最適できているだろうか」と疑問に感じるタイミングがあるはず。そういったタイミングで、171のような基準も駆使しながら、第三者から包括的に今の自社の状況を評価してもらうことが重要だと思います。
当社はこのようにセキュリティに関するちょっとした悩み事を専任のコンサルタントとして定期的にヒアリングし、課題解決に向けて並走するといったアドバイザリー支援も行っています。こうした第三者が提供するサービスの活用も視野に入れて包括的にセキュリティ対策を考えていくことが今後求められてくるのではないかと思います。
また、セキュリティ担当者はサイバーセキュリティ対策だけでなく、コンプライアンスや内部不正のモニタリング、IT障害対応なども見なくてはなりません。これらは担当が分かれているかもしれませんが、インシデント発生直後は今起きていることがサイバー攻撃によるものなのか、それともシステム障害なのかといった切り分けが難しいことも多いため、プロセスを分けるのはナンセンスだったりします。そのため、セキュリティ担当とコンプライアンスチームとBCPチームが協働するなどといった「最適化」に向けた動きは今後必然的に進んでいくと考えています。
──最後に読者に向けてメッセージをお願いします。
今回は、NIST SP800-171に軸足を置いてお話ししましたが、標準的なセキュリティのガイドラインやフレームワークは他にもあるので、特徴を踏まえ自社に合うものを選択し、折に触れて確認することをお勧めします。専門家の知恵を結集した“血と汗の結晶”みたいなものですから使わない手はないです。
また、セキュリティはビジネスと連携していくことが大切なので、ビジネスや経営視点が分かる人材は今後求められていくことでしょう。私たちは経営が何を止めてはいけないと考えているのか、何を担保すべきかをしっかり調査して対応しています。困ったことがあればぜひご相談ください。
NIST SP800-171セキュリティ構築支援コンサルティングサービス
ニュートン・コンサルティングでは、NIST SP800-171への準拠に向けたセキュリティ構築の支援を実施しています。まずは、トップインタビューで投資や育成などのセキュリティ戦略をヒアリングし、その後、CUIの定義/可視化、現状分析/評価、推進計画の作成、具体的なセキュリティ対策の実装を支援。米国内での製品/サービス提供を行う組織はもちろん、グローバル・スタンダードに基づきセキュリティを強化している組織の方も対象としています。
