[デジタル時代のサイバーセキュリティ対策を考える]

今、CIOが考えるべきサイバーセキュリティ対策の視点とは?

2018年3月5日(月)西野 弘(NIインテリジェントイニシアティブ取締役会長)

前回までの2回のコラムでは、日本のサイバーセキュリティ対策が抱える本質的な課題についていくつかの指摘と提言をさせて頂きました。それに続き、企業においてサイバーセキュリティ対策を担うCIOやCSOが持つ課題について2回程度で考えてみたいと思います。

 サイバーセキュリティ対策について、CIOからよく聞く嘆き節に次のようなものがあります。

  1. 当社はサイバーセキュリティ対策にどの程度のレベルでどれくらいの人とお金を投じるべきなのか? CSIRTの設置など予算は増すばかりで、ほかの業務に影響を及ぼしている。
  2. 経営層はITやサイバーセキュリティにあまり理解がなく、未だにコストとしか捉えていない。無理解と責任の押し付けが多い。
  3. 何が狙われているのか、何が盗られているのか? 実はよく分からない。
  4. サイバーセキュリティ対策ソフトなどをすでに相当数導入済み。しかし防御に効いているのか、今後も必要なのか、分からない。

 読者の皆さんはいかがでしょう? 実はセキュリティ専門ベンダー企業やコンサルティング会社も、これらに対する明確な回答を持ち合わせていませんから、CIOが嘆くのも当然です。この現象は、全体のサイバーセキュリティ対策のマネジメントがなされていないため、自身の体が見えなくなっている状態と言えるでしょう。

 筆者にはプロジェクトマネジメントの知識体系「PMBOK」やITサービスマネジメントの「ITIL」を日本に導入し、普及を推進した経験があります。残念ながら日本のPMやITサービスマネジメントのレベルは、グローバルに比して決して高いとは言えません。例えば、PMI(米国プロジェクトマネジメント協会)にはPMに関わる組織成熟度を測るOPM3というフレームがあります。

 しかし日本ではこの成熟度モデルで自らのレベルを正確に把握してる企業はまだ少ないのが実情です。PMと言えば個別のプロジェクトのマネジメントが中心。経営側が組織的な成熟度を把握し、継続的に高めていく努力が不足しているのです。下の図はOPM3の5段階のレベルを記したものですが、日本企業はレベル3辺りに留まっている組織が多いと推察します。

図 PMに関わる5レベルの組織成熟度(OPM3)

 ITサービスマネジメントも同じ。10年以上前の2004年頃から日本に本格的に導入されましたが、資産マネジメント一つをとっても、高いレベルにあるとは言い難い状況です。資産マネジメントレベルの低さがサイバー攻撃に対する脆弱性の高さに繋がることは、言うまでもありません。PMやITサービスマネジメントの話を持ち出したのは、発注側も受注側もITの現場におけるマネジメントレベルが高いとは言えない中、ツールやソフトを導入しただけでサイバーセキュリティ対策のレベルが上がるはずもないことをお伝えしたかったからです。

CSIRTの実力は如何に!?

 日本においても危機管理チームの設置がこの数年で急速に進みました。ここではサイバーセキュリティ対策の代表的なものとして「CSIRT(シーサート)」について考えてみます。日本CSIRT協議会によると、以下のような定義がなされています。

シーサート (CSIRT: Computer Security Incident Response Team) とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。

 CSIRT協議会にはすでに300社近い組織が参加しており、各組織は日々その責務に当たっておられますが、プロジェクトマネジメントやITサービスマネジメントの導入経験から、CSIRTについて筆者が一番気になっているのは、とりあえず体裁を整えて担当者をアサインしただけで対応完了となっている企業が少なくないのではないかという点です。言い換えれば、CSIRTのレベルをグローバルにベンチマークし、確実にそのレベルを上げていく努力がなされているかということでもあります。

 前回のコラムでは日本のサイバーセキュリティの人財の質と数の少なさを大きな問題として取り上げました。CSIRTは正に最前線で戦うチームです。その人財のレベルを明確に把握するのはもちろん、技術者だけでなくリスクマネジメントやコミュニケーションマネジメントの専門家などを含めた、海外では当たり前のCSIRTチームを構築することが日本でも求められるでしょう。

 なぜならサイバーセキュリティは、“世界の一流の悪人”と戦う現場だからです。防御する側の人財が本当に戦える能力を備えているかどうかで勝敗は決まります。武器が一流でも兵士の能力が低ければ戦えないのと同様、どんなにツールやソフトウェアで守りを固めてもそれだけでは戦えません。1通のウィルスメールで大惨事が起きているのは読者諸氏がご存知のとおりです。

 先日開催された平昌オリンピックでも日本で報道されている以上に深刻なサイバー攻撃が実際はあったようです。次は東京オリンピック/パラリンピックの番です。

CSIRTのあるべき姿とは

 筆者はオリンピック/パラリンピックのサイバーセキュリティに関する調査をしていますが、日本においては実践教育に不可欠なサイバーレンジの導入が極端に遅れていることが分かっています。サイバーレンジは攻撃と防御のチームに分かれて、実践さながらにサイバー攻撃の演習を行う訓練です。海外ではCSIRTチームの全員がこの演習を受け、それを経て何人かが上級コースに進むのが当たり前になっています。

 調査のために訪問したシンガポールではサイバーレンジは常に満席で、来年は施設を倍に拡充して産業別の訓練を実施するそうです。しかし日本ではサイバーレンジ教育プログラムはあっても、どこもまだ閑古鳥が鳴いている状況です。東京オリンピック/パラリンピックへ向けた対策として、情報通信研究機構(NICT)と総務省はサイバーコロッセオという訓練プロジェクトを実施することを表明していますが(https://www.nict.go.jp/press/2017/12/07-1.html)、上級レベルの人財はまだまだ足りないと思われます。

 一方で大手企業になると、CSIRTの維持と外部のエスカレーション組織にかかるコストとして、年間で軽く億を超える金額を費やしています。その効果は本当にあるのか? アプローチややり方に問題があるのではないか?──今一度考えてみるべきところに来ていると思います。

 下の写真は特別な事例ではありますが、筆者が昨年、米国ボストンマラソンの大会のCSIRTを見学した時の本部の様子です。地下の防空壕の中に20を超える政府関係機関および民間組織から250名ほどが集まり、協力して対策にあたっていました。副司令官に規模や内容、訓練について伺いましたが、正に戦闘態勢を組んで任務に当たっており、IT分野だけでなく、重要インフラ事業者や多くの分野の専門家が協力しているとのことでした。

写真 米国ボストンマラソンの大会のCSIRT本部の様子

 もちろん一般の企業ではここまでの体制は必要ないし困難でしょう。しかしサイバー攻撃という特徴は何ら変わらないわけであり、自身の防御能力をしっかり計測し、対策に必要な人財のベンチマークを行うことが非常に大事であると再認識しました。前回のコラムで日本のサイバーセキュリティ対策はITマターに偏り過ぎていると書きましたが、今まさにCIOは自らが投資している人とツール、サービスの実効能力を検証すべき時期に来ていると、筆者は考えます。次回は企業がリスクマネジメントレベルを具体的にどのように向上させて行くべきかについて示したいと思います。

バックナンバー
デジタル時代のサイバーセキュリティ対策を考える一覧へ
関連記事

Special

-PR-

今、CIOが考えるべきサイバーセキュリティ対策の視点とは?前回までの2回のコラムでは、日本のサイバーセキュリティ対策が抱える本質的な課題についていくつかの指摘と提言をさせて頂きました。それに続き、企業においてサイバーセキュリティ対策を担うCIOやCSOが持つ課題について2回程度で考えてみたいと思います。

PAGE TOP