EN

NRIセキュア ブログ

「見える化」から始める継続的セキュリティ

目次

    Secure SketCH top

    セキュリティ対策支援Webプラットフォームサービス
    「Secure SketCH」を2018年4月から無料で提供開始

    2018年2月22日、NRIセキュアテクノロジーズ株式会社は、企業におけるセキュリティ実務担当者の対策実行を支援するWebプラットフォームサービスを公表しました。 

    Secure SketCH ブログ開設

    みなさん、こんにちは。
    この度、新しいセキュリティ対策実行支援Webサービスの専用サイトにおいて、ブログを開設する運びになりましたので、Secure SketCH のサービスオーナーとして、ご挨拶させていただきます。

     「サイバーセキュリティ月間(2018年2月1日~3月18日)」の期間中に、NRIセキュアの取り組みをご紹介できることは、サイバーセキュリティのさらなる普及・啓発を願うものにとって至上の喜びです。 

    セキュリティ担当者を最も困らせる1つの問い

     
    「ウチの会社のセキュリティは大丈夫なのか?」


    直近3年間、コンサルティングの現場でお会いしたセキュリティ担当者の方から、もっとも聞く機会が多かった言葉です。会社毎に若干の表現差異はありましたが、社長・役員・CISO・上長などから寄せられた、この1つの問いをきっかけとした案件相談が数多く実在しました。

     

     サイバー攻撃による脅威の高まりを象徴するように、TVや新聞の一面において、サイバーセキュリティ関連のニュースを目にする機会が増えています。セキュリティ関連の事件・事故、最新の攻撃手法、規制・基準の新設やアップデートなど、話題には事欠きません。昨今ではITのデジタル化という大きな流れ・トレンドに合わせて、サイバーセキュリティリスクを危惧する声はますます高まっています。

     

     

    user-issue.png

    illust_business-787ebe3d9eeb162ff6ba9e7369038133f74695013645e3ae3dfed8ad8d31c8f5.png

     図1:セキュリティ担当者が抱える課題

     

    もし貴方が企業のセキュリティ担当者だとして、社長から突然 「ウチは大丈夫なのか?」 という問いを投げかけられた時、どのように答えますか?すぐに必要な対応が浮かび、実行に移せるでしょうか?

     

    昨今のセキュリティ担当者にとって、この問いに迅速かつ明確な答えを出すことは、至難の業です。自社のセキュリティ対策の全体像を把握するだけでなく、最新の脅威・攻撃手法や各種規制にも通じている必要があるためです。ITのデジタル化に伴う利用形態の多様化で、セキュリティ担当者の守備範囲はより広く・複雑になっているため、セキュリティ対策を現状評価する難易度は高まる一方です。

     

    セキュリティ担当者が日々向き合っている困難な状況こそが、NRIセキュアが Secure SketCH という新しいWebプラットフォームサービスを開発・提供するに至った理由です。

    セキュリティ対策の見える化を阻む3つの壁 

    サイバーセキュリティに限らず、あらゆる課題解決における最初の一手として、見える化は大変に有効なアプローチです。しかしながら、セキュリティ担当者が、自社のセキュリティ対策状況の見える化を自身で試みる場合、その行く手を阻みうる3つの壁があります。

     1. 「見える化」 のモノサシに選択肢が多い

     ・セキュリティを現状評価するためのモノサシとして利用可能な基準・ガイドラインが多数存在する

      例:ISO/IEC 27001/27002、サイバーセキュリティ経営ガイドライン、NIST Cybersecurity Framework等

     ・各々の特長や最新版を正確に把握し、目的や用途に応じて、選択・使いこなすことが難しい

     2. 「見える化」 の範囲が広い

     ・現状評価の対象は、技術やシステムだけでなく、戦略・ルール・体制・運用など多岐にわたる

     ・必要なセキュリティ対策を一覧化するだけでも、それなりの専門知識が必要となる

      加えて、対象毎に担当者が分かれており、結果を収集・統合するのにも手間がかかる

     3. 「見える化」 の効率的な継続が難しい

     ・セキュリティ対策は継続性が肝心であり、マネジメントシステムやPDCAを実践する仕組みが必要

     ・継続が肝心であることが分かっているが、セキュリティ対策に費やせる要員やコストは限定的

     ・セキュリティの専任要員がいない、異動・退職などの影響で後任にナレッジが行き届かない

     

    範囲が広く難しいからこそ局所的な対策評価・対策実行に留まってしまう、モノサシの選択肢が多すぎて選ぶことやキャッチアップすることが難しい、日々の業務に精一杯で継続的にやりたくても人手や時間を捻出できないなど、これらの課題は多くの企業における共通的な悩みとして聞かれるものです。

    Secure SketCH が提供する "見える化体験"

    ここまでの流れを整理すると「ウチは大丈夫なのか?」 という1つの問いに回答するための「見える化」に求められる要件が見えてきます。

     <見える化の5要件>

    •  要件1 見える化のモノサシが明確に定まっていること
    •  要件2 利用するモノサシが網羅性を有していること
    •  要件3 複数担当者間で共有できる、使いやすいモノサシであること
    •  要件4 見える化の結果を分かりやすくアウトプットできること
    •  要件5 見える化の仕組みを継続的に使えること

    Secure SketCH には、上記要件を満たすための基本機能がWebプラットフォームサービス自体に備わっており、企業のセキュリティ担当者は基本機能を無料で利用することができます。これらの基本機能の中身は、今後ブログにて解説していきます。

     

    ⇒Secure SketCHの機能に関するブログはこちら

     Secure SketCH Evaluation results screen

     図2:Secure SketCH 評価画面の抜粋

     

    業種・業界を問わず、多くの企業が同じ悩みを持っています。セキュリティ人材不足はユーザー企業のみならず、セキュリティベンダーにとっても深刻な悩みです。そんな状況の中、なにが最善の一手となるのかを考え抜いた結果、NRIセキュアは自社のセキュリティコンサルタント、セキュリティエンジニアのナレッジが詰まったWebプラットフォームサービスを作ることを決断しました。

     

    Secure SketCH はWebプラットフォームサービスであるため、企業規模や地理的な制約を越えて、日本全国の企業・セキュリティ担当者のみなさまに、見える化体験を提供できます。そこから、セキュリティ対策のより効率的な検討・推進に繋げていただきたいと考えています。

    継続的セキュリティのすすめ

    Secure SketCH を活用した「セキュリティ対策状況の見える化」は、複数の業務を抱え、日々繁忙を極める日本全国のセキュリティ担当者に、複数のベネフィットを提供します。

     <Secure SketCH の期待効果>

    1. 「見える化」 自社のセキュリティ現状の効率的かつ継続的な把握(他社比較情報を含む)
    2. 「説明責任」 経営者・取引先等へのセキュリティ関連報告における説明責任力の向上
    3. 「省力化」 セキュリティ対策状況の管理、情報収集・報告の省力化(働き方改革の一手)

    想定される期待効果の中で、私は Secure SketCH の最大の特長は、継続的セキュリティ(Continuous Security)の合理的・効率的な実現にあると考えています。

     

    セキュリティ業界には「セキュリティレベルは時間経過と共に目減りしていく」、「そうならないようにPDCAを回し続けることが重要」 という基本的な考え方があります。昨今のサイバーセキュリティ脅威の高度化・迅速化が、上記の時間経過を加速化させており、だからこそセキュリティ担当者には、これまで以上に短いサイクルで現状把握・意思決定・対応/適応を繰り返していくこと、すなわち継続的セキュリティの実践が求められます。

     

    Secure SketCH continuous visualization cycle

      図3:Secure SketCH 繰り返し可能な見える化のサイクル

     

    そんな時代にこそ、セキュリティ担当者が、いつでもセキュリティ対策状況を確認・申告できるプラットフォームサービスが必要です。Secure SketCH を使って、セキュリティ対策を一過性の取り組みではない、より継続的な取り組みにすることが可能です。 

     

    なぜ継続的な取り組みが必要なのか、詳しく解説したレポートを以下から無料DL可能です!

    Secure SketCH 今後の展望  

      

     Secure SketCH logo

    NRIセキュアは、Secure SketCH の提供を通じて、国内企業全般のセキュリティに対する意識・リテラシーのさらなる向上、経営と実務担当者との円滑なコミュニケーション推進、ならびに企業のセキュリティ業務の省力化・効率化に貢献していきます。

     

    最後になりますが、Secure SketCH の運営メンバーは、みなさまにとって、有益な情報を発信できるよう、本ブログを更新していきます。お時間があるときに、是非とも、本ブログをご覧いただけると幸いです。

     

    NRIセキュアが提供する Secure SketCH を、運営メンバーともども、ご愛顧いただけますよう、末永くよろしくお願いいたします!