この記事のポイント
- セキュリティインテリジェンスの体制を構築するためには、経営層(情報の要求者)が目的や目標を定めてセキュリティ担当者(情報収集の実施者)に伝える情報運用が必要であり、目的のない情報収集には意味がない
- 「サイバーセキュリティ経営ガイドライン ver3.0」の対象はあくまで経営者。経営層が同ガイドラインの方針に沿って現場に指示を出し、セキュリティ担当者はガイドラインの解釈や補完を行う
- ストーリーテリングの手法を活用し、セキュリティリスクに対する経営層のイマジネーションを醸成することが重要
サイバーインテリジェンス体制の構築法 – 目的のない情報収集には意味がない
「サイバーセキュリティ経営ガイドライン ver3.0」が公表されたことで、名和さんのもとにはどのような相談が寄せられるようになりましたか。
どのように情報収集をすればよいかという相談が増えました。同ガイドラインには情報収集が必要だと記載されていますが、情報収集のあり方や情報収集に期待されていることまでは明記されていません。
「サイバーセキュリティ経営ガイドライン ver3.0」が求める情報収集と情報共有活動
指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進
- 有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。
- 入手した情報を有効活用するための環境整備をさせる。
目的のない情報収集には意味がありません。情報収集を行う前に、セキュリティインテリジェンスの前提となる情報運用という考え方を理解する必要があります。情報運用では、①情報の要求者と②情報収集の実施者がおり、前者の要求がそのまま後者のミッションとなります。つまり、①情報の要求者が情報収集の目的や達成可能な目標を設定することではじめて、②情報収集の実施者は、どのような情報を収集すべきか、誰が担当すべきなどの計画を立てられるようになります。
情報収集の実施者は、得られた情報を目的や目標に沿ってまとめあげ、情報の要求者にとってわかりやすい形に加工して、レポーティングします。レポーティングの方法は、メモやスライド、書面などさまざまな方法がありますが、その時々で最適な方法を選びます。アウトプットがよければ要求者は評価し、悪かったらきちんと指摘するというフィードバックの体制も必要です。こうした要求者と実施者との関係性があってはじめて「サイバーインテリジェンス」が構築されていきます。
情報収集の目的や目標を示すのは経営層であるべき、ということになるでしょうか。
リーダシップを取るのはトップの仕事ですよね。あるべき論ではなく、経営層が目的や目標を定めるのが当然です。
経営層が情報収集の目的や目標を設定するうえで、オーソドックスな道筋があれば教えてください。
まずすべきことは、「シチュエーションアウェアネス」といわれる状況認識の獲得です。事実を把握してはじめて議論ができるようになります。
サイバーセキュリティリスクの発生プロセスは、技術に関する知識の有無に関係なく概念的に説明できるものです。たとえば、組織のセキュリティに影響を与えうる行為者(脅威アクター)が現在どのような状況下で何を狙おうとしているか、それを促進させるエコシステムはどうなっているのかを理解するだけで、自組織にとってどのようなリスクが発生しうるのかを想像できるはずです。
過去に自社や競合企業等でリスクがどのように発生したのかを知ることも重要でしょうか。
それは参考程度の知識となるだけで、いまの自組織のリスクの見積もりに役立つものではありません。他社の事業はもちろん、過去に自社が展開していた事業であっても、現在の事業と異なるのであればリスクはまったく異なります。あくまで現在自社がオーナーシップを持つ事業に関わるリスクを考える必要があります。
重要なのは、自社の経営や事業におけるデジタル依存の状況とその仕組みを理解するとともに、その対となるリスクを同時に見出すこと、つまり自社のビジネスとサイバーリスクがどう結びついているかを把握することに尽きます。
知るべきは、サイバー攻撃者の姿勢や行動
「サイバーセキュリティ経営ガイドライン ver3.0」では、サプライチェーンリスクへの対応に関しても記載があります。
2022年10月28日に公正取引委員会と経済産業省が「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」 というガイドラインを公開しました。これにもとづいて、発注側企業や委託先等の取引先の具体的なアクションを記載しているのが、「サイバーセキュリティ経営ガイドライン ver3.0」です。サプライチェーン全体の状況把握と対策を行うためには、発注側企業がファクトをもとにリスクを判断し、委託先とイーブンな取引になるよう役割と責任範囲を設定していくことが推奨されています。リスクを整理して適正なアクションを要請するのは、発注側企業に求められる努力です。
サプライチェーンを標的とする攻撃者は、さまざまなオンラインサービスでサプライチェーンの脆弱性を見つけ出します。そのような攻撃者は、必ずしもハッキング技術に明るいわけではなく、誰でも手に入れることができるツールを使いこなしている者も多く存在しています。発注側企業も、同様の努力をすれば攻撃者と同じように脆弱性を見つけることができます。そのようなコストと時間をかけることができないということは、サプライチェーン攻撃が発生するのを単に待っているだけといえるでしょう。知るべきは、攻撃者の姿勢や行動です。攻撃者のレベルがわかれば、それよりわずか上のレベルの対抗をすればよいだけですが、相手を知らなければ適切な対策をとることはできません。
「サイバーセキュリティ経営ガイドライン ver3.0」を踏まえて、経営層とセキュリティ担当者がとるべき対応
企業は「サイバーセキュリティ経営ガイドライン ver3.0」をどのように受け止めていると感じますか。
ver3.0が公表され、東京都産業労働局や日本商工会議所など経営者に影響を与える機関がこのガイドラインを積極的に紹介しています。このため、ver1.0と比べると影響を受ける経営層は格段に多くなっていますし、ガイドラインを活用していこうという意識は高まってきているようです。
ただし、ガイドラインはあくまでガイドラインであり、自組織の取り組みを助けるためのツールです。「準拠すればなんとかなる」「基準を満たせばよい」といった考えには陥らないよう注意しなければなりません。
同ガイドラインを読むうえでポイントとなる部分はありますか。
ver3.0では、サイバーセキュリティリスクの管理に関する対応方針がかなり丁寧に記載されています。具体的には、IT部門ではなく、経営層直下における会議体がビジネス上のリスクを見出して、そのリスクに対して誰がどんな対策を講じるのかを設定し、きちんと数値化・定量化してモニタリングするといった対応です。これは、諸外国のベストプラクティスとほぼ同様で、素晴らしい取組みといえます。
経営層や現場のセキュリティ担当者は、同ガイドラインをどのように活用していくべきでしょうか。
「経営ガイドライン」という名前のとおり、想定読者はあくまで経営層です。IT部門やセキュリティ部門が同ガイドラインの内容を理解して経営層に説明すべきだと指示するようなリーダシップはありえません。同ガイドラインには経営層が行うべき指示が書いてありますので、セキュリティ担当者としては、経営層から指示を受けてガイドラインの解釈や補完をすることが仕事になります。経営層が適切な指示や要求を出すことなく現場だけであれこれ考えても、的を射ないアウトプットになってしまう可能性が高いでしょう。
本ガイドラインは、大企業及び中小企業(小規模事業者を除く)の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」、及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO 等)に指示すべき「重要10項目」をまとめたものである。
(「サイバーセキュリティ経営ガイドライン・概要」より、下線は編集部追記)
リスク管理の要諦は、リスクに対する「イマジネーション」
サイバーセキュリティの領域で経営層がリーダシップを取るうえで、セキュリティ部門の位置づけについてはどう考えればよいでしょうか。
諸外国企業のサイバーセキュリティ部門やIT部門は、他のビジネスユニットや経営層に対してサービスを提供する部門と位置づけられており、サイバーセキュリティに関する責任を負うことはありません。
日本企業は、部門に対して責任を与える一方で、個人レベルの責任を曖昧にする傾向があります。しかし、いまやそうした曖昧さが通用する時代ではないことに経営層は早く気づかなければなりません。本来、責任は個人に与えるべきものであり、サイバーセキュリティの領域において責任を負うべき個人はCISOです。その右腕になる組織がCSIRTやセキュリティ担当部門という位置づけになります。
日本企業においてはセキュリティ担当者のほとんどが技術者出身であり、ビジネスに明るくない方が多いのも課題に感じています。欧米では、セキュリティ担当部門にもビジネスに通じたメンバーが入っています。
経営層とセキュリティ担当者が適切な連携やコミュニケーションをとるうえでは、どのようなことが重要ですか。
リスク管理の要諦は想像力、イマジネーションです。経営層におけるサイバーリスクに対するイマジネーションを醸成することが必要です。そして、イマジネーションを鍛えるための主たる方法は「ストーリーテリング」です。経営層に対しては、前編で紹介した机上演習と同様に、起承転結に沿ったストーリーを提供しながら、コンテクスト(文脈)やインサイト(洞察)を提供していくことが必要です。伝える相手がどのようなテーマ(主題)に慣れ親しんでいるか、どれくらいの時間が与えられているのかによって最適な方法は異なります。スライドなのか、メモなのか、動画を交えたものにするのか、口頭だけでよいのかなど、選択肢はたくさんあると思います。
最後に、セキュリティ担当者として組織を改善していくために、日頃から取り組むべきことがあれば教えてください。
現状では、サイバーセキュリティの領域においてリーダシップを取れている日本企業の経営層はわずかです。リーダーシップが取れていたとしても、高いレベルにはありません。こうした状況を変えていくためには、前編でお話ししたとおり多大な時間と犠牲が必要だと私は考えています。それまで待てないということであれば、経営層や事業部門長の日々の活動や対話の中からサイバーリスクとなりうる要素を見出す努力や、他部門や経営層の行動変容につながるインサイト(洞察)を提供する取組みを積み上げていくことがベストです。ただし、半年ほど努力を積み重ねて効果が見られないようであれば、組織を去るという選択肢も考えたほうがよいかもしれません(笑)。
(取材・文:周藤 瞳美 、写真:岩田 伸久)
最新情報をフォローする
