セキュリティ対策の有効性は評価できるのか?
多くの企業経営者はサイバーセキュリティの重要性を理屈の上では理解しているものの、実際の対策や投資が十分ではないとされている。IPAが実施した「2021年度中小企業における情報セキュリティ対策に関する実態調査」によれば、セキュリティ対策に投資を行っていない企業は全体の30%前後と決して低くない。
投資を行っている企業でも、投資額は10万円未満が約半数と、十分とは言い切れない。その理由はコストが見えにくい、費用対効果が見えないといった金銭的なものが目立つ。必要性を感じていないという企業も40%ほど存在する。
ただし、この意識調査ではセキュリティ意識は年々改善される傾向にあるという。また昨今のサプライチェーン攻撃の高まりから、取引先、親会社、グループ企業からの要請や連携によってセキュリティ対策・投資が強化されていく可能性が高い。
取引先やグループ企業の理解や後押しがあれば、セキュリティ対策への投資は今後広がることは期待できる。そうなったとき、自社の取り組みは正しいのか、十分なのか、経営層としては気になる点である。とくにセキュリティ対策は、これをしておけば安心という基準が決めにくい。守るべき情報資産とそのリスク、脅威は業種や会社ごとに異なるものとして評価・対策を行う必要があるからだ。
したがって、他社が採用した対策やソリューションをそのまま適用しても効果が期待できないこともある。ファイアウォールやアンチウイルスのように、導入するだけで一定の効果は期待できる対策手法もあるが、万能ではなく業務のニーズに適合していないと、効率(可用性)を落としたり、使いにくい設定が運用規定違反を誘発することにもなる。
こうした場合、対策や施策がどの程度有効かを図る手法に成熟度診断がある。対策や体制についてのチェック項目について、達成度、実現度を数値(5段階評価が多い)で評価して、項目ごとの数値や組織全体の達成レベルを判断し改善していくための指標とする。
企業経営者はセキュリティ対策をどう進めればよいのか?
回答は、一般的に議論されている問題をまとめており、これ以上の解説は必要ないくらいだが、そつがない分、回答や情報としてはちょっと物足りない。個別に追加質問をしていけば、もう少し掘り下げた回答を得ることは可能だが、本稿の主旨ではないので、ここからは人間(筆者)が補足情報や考察を加えたい。
IPAは、企業のセキュリティ対策の目安として「サイバーセキュリティ経営ガイドライン Ver3.0」という文書を公開している。この文書は、経営者が組織的なセキュリティ対策を実施するにあたって、必要な考え方や手順、要件をまとめたものだ。セキュリティ対策は必要と認識していても、アンチウイルスソフトを入れるくらいしか対策が思いつかないような企業にとって、具体的にセキュリティをどう考えて、なにをすればいいのか(するべきか)が書かれている。
Ver1.0は2015年に公開され、現在のVer3.0では、ここ数年のサイバーセキュリティ動向やIT動向を踏まえて、テレワークでの注意点、ランサムウェアの対策、サイバーフィジカルやDXといった動向への対応、法的な課題やコーポレートガバナンスといった項目が、加筆修正されている。
文書では、まず経営者が認識すべき3原則を掲げる。
1:リスクマネジメントの重要課題であるサイバーセキュリティは経営者自らが実践する
2:国内外の拠点、パートナーなどサプライチェーン全体に配慮する
3:平時・有事ともに関係者・機関とのコミュニケーションを行う
そして具体的な対策として以下の10項目を掲げる。
指示1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 : サイバーセキュリティリスク管理体制の構築
指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 : サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6 : PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7 : インシデント発生時の緊急対応体制の整備
指示8 : インシデントによる被害に備えた事業継続・復旧体制の整備
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10 : サイバーセキュリティに関する情報の収集、共有及び開示の促進
取り組みを可視化し評価する成熟度診断
3原則や10の指示の詳細は、当該文書に詳しく書かれている。また、この文書の内容は、NISTサイバーセキュリティフレームワーク、ISO/ICE27000シリーズ、サイバーフィジカルセキュリティ対策フレームワーク(CPSF)などとの対応関係も考慮されている。
国内外の標準とも整合する内容となっているので、たとえばISO 27000シリーズの認証を受けたい、認証維持にあたって監査を受けたい、といった場合にも活用できる。企業や組織を拡大していく上で、サイバーセキュリティ経営ガイドラインに準拠しておくことは、よいスタートラインに立てるということでもある。
この文書に付随して、「サイバーセキュリティ経営可視化ツール」というExcelのシートも公開されている。これは、ガイドライン文書の内容について、自組織がどの程度項目を達成できて、なにが足りないかを確認できるツールだ。足りない部分について、数値仕様と組織の成熟度がレーダーチャートによっても評価確認できる。
セキュリティ対策は業種によって濃淡がある。たとえば、顧客が消費者である場合、インシデント対応やガバナンスの詳細が変わってくる。製造業であれば機能安全など出荷後の対応も欠かせない。チェックシート評価の絶対値の評価では、このような業種や業界による差が吸収できない。そのためこのツールでは、業種ごとの平均値との比較もできるようになっている。
チェックツールの使い方は簡単
使い方はいたって簡単だ。チェックツールはExcel形式のスプレッドシートになっている。前述10の指示について各2ないし5問、最大9問ほどの設問がある。たとえば、「組織の基本方針に基づき、CISO(チーフ・インフォメーション・セキュリティ・オフィサー)等からなるサイバーセキュリティリスク管理体制を構築している」という設問に「1:できていない又は部分的である」から「5:管理体制の運営状況が継続的に改善されている」までの成熟度を数値で答える。該当する成熟度にチェックを入れていくだけだ。
成熟度は単に数字が示されているだけでなく、「組織図があり周知されている」といったような文章による基準例が明示されている。また、回答のヒントとして、「管理体制とはセキュリティ委員会、CISOの任命、内部監査の有無、セキュリティ責任者の任命などがあるか」といった説明も付与される。
これらの基準を参考に、チェックリストに自社の状態を入力していく。すべての項目の入力が終わったら、「可視化結果」というシートに項目別の数値の一覧とグラフ機能によって作図されたレーダーチャートが表示される。製造業や金融といった業種を選べば、その業種ごとの平均値も表示され、業界・業種の中で自社の対策が遅れているところ、進んでいるところなどがわかる。
詳しい使い方、表の見方なども「使い方ガイド」というシートにまとめられている。チェックリストは1から3まであり、部署ごと、拠点ごとの評価・入力にも対応している。
チェックリストの記入は、経営者や少数の役員・幹部などの評価で入力することも可能だが、エビデンスとなるような文書や資料、記録の有無について、部署ごとの担当者やマネージャなどに確認して、実態を反映するようにする。拠点ごと、部署ごとにチェックシートを作成する場合に適宜利用する。
チェックツール活用のヒント
「可視化結果」のシートにレーダーチャートが作成されるので、業種ごとの平均との違いや組織・部署ごとに対策が遅れている部分をチェックし、改善や対策に生かす。指示1や2に関する項目の成熟度が低ければ、組織体制や管理者主導による対策が遅れていることが示唆される。指示3や4ならばリスクアセスメントや情報資産の棚卸しを見直す必要がある。指示5、6のポイントが低ければ、セキュリティ対策基準や予防策の点検を行う。指示7、8はインシデント対応や被害にあった場合の耐性やシナリオに関する設問だ。ここが低い場合は、インシデント発生時の対応や復旧策、演習の強化が必要だ。指示9、10は外部連携、ステークホルダーとのコミュニケーション、サプライチェーン全体でのセキュリティ対策に問題があることが示唆される。
サプライチェーンについては、拠点や取引先の協力を得て、それぞれのチェックシートを作成してもらえば、レーダーチャートの比較によって判断することも可能だ。本社や自拠点のポイントが高く平均を上回っていても、他拠点や取引先のポイントが低ければ、そこがサプライチェーン攻撃の弱点となる。
自社の弱点や脆弱性を調べるには、セキュリティベンダーや専門家に脆弱性診断、侵入テストなどを実施する方法がある。これらの手法も有効だが、「サイバーセキュリティ経営ガイドライン」と「サイバーセキュリティ経営可視化ツール」をうまく活用することで、弱点や強味の自己評価が可能だ。自社にはセキュリティの専門家・担当者がいる、ベンダーに入ってもらっている、という会社も、改めて可視化ツールで評価してみるのもいいだろう。見落としていた気づきが得られるかもしれない。