セキュリティの重要性が増すなか、自社のセキュリティの見直しを検討される企業が増えてきています。しかし、自社のセキュリティを把握するために、「まずどこから始めればよいのかわからない」といった課題を持つ企業も少なくないのではないでしょうか。
本記事では企業のセキュリティ対策の「羅針盤」となりうるセキュリティガイドラインについて、ガイドラインを活用することの大切さ、また運用上の課題・解決策について解説します。
セキュリティガイドラインとは、その名の通り企業がセキュリティ対策を進める上で必要なノウハウが体系的・網羅的にまとめられたものです。政府や研究機関主導のもと、セキュリティの専門家によって作成されており、その信頼性の高さから多くの企業で活用されています。
ガイドラインの構成としては、対策事項についていくつかのカテゴリーが設けられており、それぞれにセキュリティ対策として「何を」するべきかが要求事項としてまとめられています。
例えば、「アクセス制御」というカテゴリーがある場合、対策事項として、「アクセス承認フローを文書化して管理すること」や「管理者権限でアクセスする場合は多要素認証を必須化すること」などといった要求事項がまとめられています。
ガイドラインの各要求事項と自社のセキュリティ対策実施状況を照らし合わせることで、セキュリティ対策として何ができていて、何ができていないかを抜けもれなく把握することができます。
セキュリティガイドラインは複数の団体が発行しており、重点的に扱っているテーマが違うなど、それぞれに特徴があります。
例えば、米国国立標準研究所(NIST)が発行しているNIST CSFでは、組織としての対策・凡庸的な要求事項が多いのに対し、米国のCenter for Internet Security(CIS)が発行のCIS Controlsではより技術的かつ具体的な要求事項で構成されています。
【解説】NIST サイバーセキュリティフレームワークの実践的な使い方
セキュリティガイドラインを活用してセキュリティ対策を進めるメリットは、大きく以下の3点です。
ガイドラインでは、セキュリティの要求事項が体系的・網羅的にまとめられています。
自社がガイドラインの要求事項に対応できているか、一つひとつ調査をすることで、良く対策できている分野、あるいは対策できていない分野が浮き彫りになり、自社のセキュリティ対策状況の全体感を把握することができます。
ガイドラインを用いてセキュリティの現状把握を行った後、対策計画を立案することで、抜け漏れのないセキュリティ対策を進めることができます。
ガイドラインでは、要求事項ごとに解説や対策例などが設けられていることが多いです。
解説が設けられていることで、セキュリティ要求事項についての詳細を把握でき、その対策の必要性や対策方法について理解することができます。さらに、対策例を読むことで、実際に対策を進める上でのイメージをつかむことができます。
多くのガイドラインで、対策優先度や実施難度が定義されています。
多くのガイドラインでは、実施難度・対策重要度に応じて要求事項をレベル分けし、どのような属性(企業規模・業種など)の企業がどの対策レベルを目指すべきかが定義されています。
要求事項の数が100を超えるガイドラインもあるなか、全ての要求事項を同時に満たすことは現実的ではありません。しかし、ガイドラインの対策優先度を参照することで、優先度の高い要求項目が整理され、より費用対効果の高いセキュリティ対策を進めることができます。
この通り、ガイドラインをうまく活用することができれば、組織のセキュリティを管理する上で多くのメリットがあります。
前述の通り、自社のセキュリティの把握・対策を行う際にとても便利なセキュリティガイドラインですが、実際にガイドラインを使ってセキュリティ対策を進めると、いくつか課題が出てくると思われます。
ここでは、ガイドラインを利用した際の課題として考えられる代表的なものをいくつか紹介したいと思います。
セキュリティガイドラインは様々な団体が公表しており、それぞれ取り扱っているテーマが異なっています。
そのため、自社の適正に合ったガイドラインを選択しなければ、重要な対策がガイドラインの項目になく、優先度の低い対策に着手してしまうなど、効果的なセキュリティ対策ができない可能性があります。
自社に合ったセキュリティガイドラインを選択することは重要ですが、各種ガイドラインへの知見がないと、どのガイドラインを用いるべきかの判断は困難です。
ガイドラインの要求事項の中には、読解に専門知識が求められるものもあり、担当者が要求事項を理解できないケースが考えられます。
また、要求事項自体は理解できるものの、それを満たすために必要なアクションが何なのかまで分解して考えることが難しいこともあるかと思います。
ガイドラインの要求事項から実際のセキュリティ対策を行うまでには、セキュリティの専門知識が必要になる場合があり、自社にセキュリティ人材がいない場合は対応が難しくなります。
ガイドラインには、要求事項の項目数が100を超えるものも多く、実施状況の管理をExcelなどの表計算ソフトで行う場合、対策状況を確認・集計する作業で多くのリソースを必要とします。
また、グループ企業の場合は、これらの確認・集計作業を企業数分行う必要があり、その中で各社担当者との調整も必要で、本質的でないところにさらに多くのリソースを使ってしまうことになります。
当然、ガイドラインへの対策状況調査は一回やって終わりのものではなく、継続的に行う必要があります。その度にこれらの作業が発生することになるため、担当者の負担は非常に大きくなります。
ここで紹介した通り、ガイドラインを用いたセキュリティ管理には、要求事項の難解さ、対策状況の管理・更新作業の煩雑さなどの課題があります。
これらの課題があってか、2020年度の当社の調査では、定期的なセキュリティ対策評価を実施できている日本企業はわずか46.6%止まりであることがわかりました。
ガイドラインを用いてセキュリティ管理を行う際には、ガイドラインの要求事項の難しさや、対策状況の管理・更新作業に多くのリソースが必要な点など、効率的な運用にいくつかの課題がありました。
そこで、担当者の運用負荷を削減しつつ、ガイドラインへの対応を実現するSecure SketCHについてご紹介します。
Secure SketCHとは、セキュリティ対策を支援するWebサービスであり、セキュリティに関する75の設問(以降、標準設問と記載)に回答するだけで、自社のセキュリティの対策状況をスコアでわかりやすくご覧いただけます。
標準設問は、当社のコンサルタントが複数のガイドラインを参考にしつつ、セキュリティの専門知識の少ない方に対してもわかりやすい内容になるように工夫して設計されています。
また、それぞれの設問に回答基準が設けられているため、回答に迷った際はそれらの基準を参考にして回答することができます。
また、セキュリティ対策のベストプラクティスが設問毎にまとめられているため、高度なセキュリティの知識がなくとも、対策の計画・推進を行う際にセキュリティ対策として「何を」するべきかを把握することができます。
Secure SketCH - セキュリティ対策実行支援プラットフォーム
セキュリティガイドラインにおける対策状況の管理は、「ガイドラインチェック機能」を使って行います。
ガイドラインチェック機能では、主要なガイドラインでの対策状況の把握・更新をおこなうことができます。
Secure SketCHのガイドラインチェック機能を利用することで、以下が可能になります。
各種ガイドラインの対策状況はいつでも確認・更新することができます。
対策状況を更新すると、対策実施率がリアルタイムで更新されます。
対策状況の更新に担当者の負荷がかからないため、継続的なセキュリティ対策が可能です。
全体の実施率、カテゴリー毎の実施率を数値・グラフで確認することができるため、
弱点分野を一目で把握することができます。
また、グループ企業の場合は、子会社ごとの対策状況を把握することも可能です。
各種ガイドラインへの対策状況は、標準設問の回答から自動的に算出しているため、75問の標準設問に回答するだけで、100問を超える複数のガイドラインの対策状況を把握することができます。
項目数が多く、理解することが難しいガイドラインを読み解く必要がないため、簡単にガイドラインへの対策状況を確認することができます。
Secure SketCHでは、以下の7つのガイドラインに対応しております(2021年9月現在)。
今回、ご利用いただけるガイドラインに2021年5月に公開された「CIS controls V8.0」を新たに追加しました。
Secure SketCHでは主要なガイドラインのアップデート情報を日々チェックしており、アップデート時にはいち早く最新のガイドラインを公開できるような体制を整えています。
ガイドラインをうまく活用してセキュリティ対策を進めることで、抜け漏れがなく、バランスの取れた対策を行うことができる一方で、ガイドラインの対策状況の確認・更新作業にリソースがかかってしまうなどの課題があります。
そこで、Secure SketCHのガイドラインチェック機能を利用することで、対策状況の管理がシンプルになり、対策状況の確認・更新作業の負担を減らすことができます。
その結果、セキュリティ対策を「継続的に」行うことができるようになります。
Webサービスを活用することで、セキュリティの運用をシンプルにし、継続的なセキュリティ対策を行うことがこれからのDX時代ではますます重要になっていくことでしょう。セキュリティ業務のDX化の一手として、Secure SketCHの導入をご検討いただければ幸いです。