日々高度化・進化するセキュリティ脅威に対し、企業はセキュリティレベル強化のための施策を継続的に講じることが求められています。その意識は日本企業においてもだいぶ根付きつつあります。
では、企業はどのように継続的にセキュリティ強化に取り組めばよいのでしょうか。「継続的」と聞いてPDCAサイクルを思い浮かべる、あるいは実践している方もおられることでしょう。本記事ではPDCAサイクルではなく、OODA(ウゥーダ)ループという意思決定の理論を用いた方法をご紹介します。
OODAループの話に入る前に、企業はなぜセキュリティ強化のための対策を継続的に講じる必要があるのか、大前提をおさらいします。
サイバー攻撃は日々進化を遂げ、どれだけ対策を施してもその対策を迂回するような攻撃が次々と生まれます。また、ITとセキュリティは切っても切り離せない関係ですので、新しいIT技術や製品が生まれるたびにセキュリティの考慮事項は増えます。このようにサイバーセキュリティを巡る環境は常に変化しています。
変化し続ける環境においてセキュリティ対策の陳腐化を防ぎ、新たな脅威に対応し続けるためには定期的なリスク把握、対策評価・見直しといったセキュリティ強化施策を継続的に講じる必要があります。
このことは経済産業省が策定している「サイバーセキュリティ経営ガイドライン」においても言及されており、経営層が認識すべき事項として明記されています。
また、弊社が実施した調査によると、「自社のセキュリティ対策状況を定期的に評価している企業の方が、していない企業に比べて対策レベルが高い*」という結果が出ました(図1)。
*対策レベルが高いとは、Secure SketCHのスコア(総得点)が高いことを指します。
図1. 「対策評価の実施状況」と「Secure SketCHの評価結果」の関連性
この結果からもセキュリティ強化に意欲的な企業は定期的、継続的に施策を講じていることがうかがえます。
⇒調査結果のレポートダウンロードはコチラ から!
継続的なセキュリティ強化のためのメソッドとしてOODAループとPDCAサイクルのどちらが向いているのか、OODAループの説明を交えてご紹介します。
そもそもOODAループという言葉を聞いたことのある方はどのくらいいらっしゃるでしょうか。あまり聞き慣れていない方も多いかもしれません。
OODAループとは、「Observe - Orient - Decide - Act」の4つの頭文字から名付けられ、アメリカ空軍の大佐が提唱した意思決定のメソッドの1つです(図2)。もともとはアメリカ海軍で戦闘時の判断を最適にするための理論として生まれましたが、ビジネスにも応用され始めています。
図2. OODAループの概念図(NRIセキュアが作成)
「いま起きていること」を情報収集し、「どういう行動をとるか」の方向性を決め、「具体的に何をするのか」の方針・計画を定めて、「行動」に移す。その結果を観察して次の意思決定に移す、というループを描きます。このループに従って行動のサイクルを繰り返すことを「OODAループ」と呼びます。
PDCAサイクルとOODAループはどちらも「問題を解決するための行動サイクルのメソッド」という点では共通していますが、利用目的が異なります。
| メソッド | 主な目的 | 利用する場面 | 例 |
| OODAループ | 意思決定 |
ゴールがまだ見えていない コントロール不可能な外部要因が多い |
新商品を開発する 市場や競合など不確実な要因が絡む |
| PDCAサイクル | 品質改善 |
明確なゴールがある コントロール可能な工程が多い |
工場の生産ラインの無駄を減らす 1つ1つの工程の計測・見直し |
わかりやすい違いとして、OODAには「Plan:計画」がありません。「Decide:意思決定」で具体的な行動計画は立てますが、その前の「Orient:方向付け」がポイントです。というのも、PDCAサイクルのように重厚かつ綿密な計画を立てるのではなく、大まかな方向を決めるだけにとどめて計画策定・行動実行に移るので、サイクルが早く回せます。さらに大まかな方向性しか決めていないので、「Observe:観察」によって情勢が変わったことを察知しても、方向修正が楽にできます。よって、OODAループを利用することでPDCAサイクルよりもスピーディにかつ機動力のある意思決定を可能にします。
もちろんそれぞれのメソッドは相反する関係にはないので、実際にはどちらも場面や状況に応じて組み合わせて利用することになるでしょう。
サイバーセキュリティを巡る環境が常に変化し続ける今日では、機動力のあるOODAループの考え方を取り入れることが有効になります。
新たな脅威が発生したり、セキュリティ事故が起きたり、タイムリーな意思決定を求められる場面が多くある中で、当初の計画通りに行動することは困難ではないでしょうか。OODAループでは、情勢に合わせて柔軟かつ迅速に対応を変えられるので、「当初の計画通りに実行できたけど、情勢が変わったので思った効果が得られなかった」ということがなくなります。
常に情報収集をして、その状況に応じた適切なアクションを行っていくという姿勢が、現在の複雑なサイバー環境を乗り切っていくためには必要です。是非、継続的なセキュリティ強化のためにOODAループを取り入れてみてはいかがでしょうか。
OODAループが有効なのはわかったけれど、自社にどう取り入れたらいいのかわからない、という方のために、次章では具体的なループの回し方を解説します。
本章では、Secure SketCHを使ってセキュリティ対策を強化するOODAループを回すポイントを解説します。
外部状況や内部状況の正確な情報を収集します。
自社の現在のセキュリティレベルを確認するために、Secure SketCHを使ってセキュリティ対策状況を評価します。また、Secure SketCHでは日本企業600社以上の対策状況と比較が可能で、最新の脅威動向も評価項目に反映されるので外部状況の把握にも役立ちます(図3)。
図3. Secure SketCH「ダッシュボード画面」
収集した情報から、おおまかな方向性を定めます。
Secure SketCHでは、企業が考える以下の方針をサポートする機能があります(図4,5)。
・弱いカテゴリから強化する
・他社平均レベルを目指す
・コンサルタントがおすすめする対策から実施する
図4. Secure SketCH「評価画面」
図5. Secure SketCH「対策状況画面」
方向性を定めたら、どの対策をいつまでに実施するのか具体的に定めます。
Secure SketCHでは対策実施後のスコアがシミュレーションできるので、対策実施効果を図ることができます(図6)。
図6. Secure SketCH「シミュレーション画面」
定めた計画に従い行動します。
各対策ではコンサルタントの知見が詰まったベストプラクティスがいつでも確認できます。また、対策実施後に状況を更新することで最新のレベルも確認できます。(図7)。
図7. Secure SketCH「対策詳細画面」
このように、Secure SketCHを利用することで継続的なセキュリティレベル強化のためのOODAループを回すことが可能です。
本記事では継続的なセキュリティレベル強化にOODAループを活用する方法をご紹介しました。
Secure SketCHは「登録/利用無料」、「WEBで完結」、「その場で結果が表示」され、一度登録いただくと対策状況を何度でも更新、評価できます。
皆様もこの機会にSecure SketCHに是非ご登録いただき、OODAループの第一歩を踏み出してみてはいかがでしょうか?
▼セキュリティ担当者に読んでほしいブログ▼
経営層が納得するセキュリティ報告 ~スマートなツール活用術~
Secure SketCHへの新規登録(無料)はこちらから!