本ブログシリーズでは、米国サンフランシスコのモスコーニセンターにて行われた、RSAカンファレンス2025(正式名称: RSAC 2025)にて示された、サイバーセキュリティ業界の最新情報などについて解説します。
本記事では弊社のセキュリティコンサルタントが聴講した以下のテーマの各セッションから「1. CISO(最高情報セキュリティ責任者)のセキュリティリーダーシップと戦略」と「2.ガバナンス、リスク、コンプライアンス」について、サマリ(Session Summary)と各組織が持ち帰るべき要点(Key Takeaways)をご紹介します。
- CISO(最高情報セキュリティ責任者)のセキュリティリーダーシップと戦略
- ガバナンス、リスク、コンプライアンス
※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
前回記事はこちら:
RSAカンファレンス2025 現地レポート|AIとセキュリティ、注目セッションとブース展示を徹底解説
CISOのセキュリティリーダーシップと戦略
Transforming Security Oversight with Forward-Looking Intelligence|将来を見据えたインテリジェンスによるセキュリティ監視の変革
Session Summary:
-
セキュリティ報告は過去の数値から、戦略的・予測的な情報共有へと進化中である。
-
ビジネスへの理解が浅いCISOと技術の理解が浅い取締役会の間に「文脈ギャップ」が存在し、意思疎通が困難な傾向があることが分かった。
-
リスクの定量化・標準化された指標を活用することにより、CISOと取締役会間の共通言語をもって会話することが推奨される。
-
取締役会に対しての報告は、ストーリーテリングによる戦略的対話としての位置づけの重要性について強調された。
Key Takeaways:
- セキュリティ報告には、単なる過去のデータよりも将来の見通しとリスクの変化を盛り込むことが重要である。
- 財務報告のように、セキュリティについても統一フォーマットでの報告を検討し、取締役との共通理解を図る必要がある。
- 脅威やリスクに対して、自社への文脈(環境や体制など)での翻訳が、意思決定者との橋渡しになる。
- 業務影響とビジネス価値に基づいた報告で、単なるIT報告から経営課題におけるコミュニケーションへ進化できることと紹介された。
- 中期的には、セキュリティダッシュボード統合による定量的・説明可能な指標の整備が重要になる。
Reporting Lines Matter: The 2025 CISO's Place in the Org Chart|2025年の CISO(最高情報セキュリティ責任者) の組織図における位置付け
Session Summary:
- CISOが組織内の誰に報告するかについて、過去と現状、そして理想像について解説した。
- 現在の一般的な報告先(シカゴでは 55%がCIO/CTO)と、あるべき報告先(CEOが52%で、CIO/CTOとしたのは 2%)、報告頻度の現状(1.5兆円企業の 35%が、四半期より少ない頻度)などの調査結果が報告された。
- 報告先(CEO, CIO, CFOなど)ごとに、報告先として選定するときのメリット・デメリット(CEOに報告すると短期的なサポートが期待できるが、報告の時間を取ってもらえないなど)が示された。
Key Takeaways:
- CISOの報告先が、セキュリティへの経営層の関与度や予算配分、全社的なリスク管理推進力に大きく影響する。
- 事業リスクに照らして過不足のないスピード感でCEOがセキュリティ課題を認知できるように、自社の組織文化や事業特性を踏まえつつ、ベストな報告先や報告頻度を見極めることが推奨される。
Our Solution
CIO / CISO支援サービスでは豊富なコンサルティング実績を活用し、CIO / CISOの頼れる参謀として、全体戦略策定・実態調査などのトップマネジメントが抱える課題を解決するコンサルテーションを提供します。
https://www.nri-secure.co.jp/service/consulting/cio
CISO Whistleblower: Navigating Ethical Challenges in Cybersecurity|CISO 内部告発者: サイバーセキュリティにおける倫理的課題への対応
Session Summary:
- ビジネスの迅速な推進がサイバーセキュリティのニーズよりも優先される現状において、いかにCISOが立ち回るべきなのかや組織内で倫理的な決断を下すためにはどうすればよいのか等の具体的な対策について述べられた。
- 組織内において、自身の倫理観と組織の利益の間で葛藤するCISOの立場が議論され、声を上げることの重要性とそれに伴う個人的なリスク(解雇、業界内での評判など)が提示されるとともに、内部告発者としてのCISOの役割と、その行動がもたらす可能性のある結果についても言及された。
Key Takeaways:
- CISOが自身を守るための対策として、採用面接時に自身に求められている役割やその企業・組織のリスク(ガバナンスや倫理観)を理解しておくこと、入社直後の倫理的立場とポジションの確立、ガバナンス・ポリシー・標準化の推進などが挙げられる。
- CISOは孤立しないように、組織内外の同僚やCISOコミュニティとのネットワークを構築し維持していくことが重要となる。
- 日本企業ではCISOがアメリカほどシビアな状況に追い込まれるケースは少ないかもしれないが、外部とのコミュニケーションの重要性やセキュリティ責任者としての円滑な立ち振る舞いにおいては参考となる箇所も多いセッション内容となっている。
RSAカンファレンス最終日のクロージングセッションも熱狂的な盛り上がりを見せました
ガバナンス、リスク、コンプライアンス
Using the NIST CSF Maturity Toolkit to Evaluate Your Security Program|NIST CSF 成熟度ツールキットを使用したセキュリティ プログラムの評価
Session Summary:
- NIST CSFベースのセキュリティ成熟度評価フレームワーク「NIST CSF Maturity Toolkit[1]」について、同ツールの開発者自身が初学者向けに解説した。
- NIST CSF自体がベストプラクティスに基づくリスクの発見に重点を置いたリスク軽減のフレームワークであることや、その成立の背景などが説明された。
- このツールキットは組織のポリシーと実際の運用実態とのギャップを可視化し、セキュリティプログラムの成熟度を評価・改善するための手法として提供されている。
Key Takeaways:
- セキュリティポリシーと実際の運用には多くの場合ギャップが存在するため、ポリシーとプロセスのそれぞれの成熟度(ポリシーや手順書に対する例外の少なさなど)を分けて評価することでリスクを特定するとよい。
- まずは小さな組織(情報セキュリティ担当部署など)で実施し、徐々に大きなチームへの適用が推奨される。
- 組織のリスク対策の成熟度を評価するためには、NIST CSF Toolkitを用いた毎年の評価が推奨される。これにより、5段階の成熟度(Initial、Repeatable、Defined、Managed、Optimizing)で何がどこまでできているかが明らかになる。
Our Solution
サプライチェーン・セキュリティコンサルティングサービスでは、NIST CSFなどの国際フレームワークを活用し、組織のセキュリティ成熟度評価と改善計画の策定をワンストップで支援します。https://www.nri-secure.co.jp/service/consulting/supplychain-security
Policy Pyramid to Deployment: A Community Approach to Deploying Security|ポリシーピラミッドから展開まで: セキュリティ展開へのコミュニティアプローチ
Session Summary:
- 組織のセキュリティ基盤を構築することを目的に、ポリシー(上位レベルの原則)、標準(具体的なセキュリティ要件)、手順・プロセス・ガイドライン(日常業務における実施方法)の3つを階層的に整理するために重要となるポリシーピラミッドの概念について紹介された。
- セキュリティポリシーの策定と実行を進めるにあたって、既存ポリシーの評価、ポリシーピラミッドへのマッピング、AIや自動化ツールの活用、従業員トレーニングの強化、ポリシー有効性の測定などが提案された。
Key Takeaways:
- セキュリティポリシーの策定にあたり、自社のセキュリティポリシー、標準、手順・ガイドラインをまずは整理・可視化することが重要となる。
- 効果的にポリシー策定・適用を進めるポイントとして、ISO/IEC 27001などのグローバルスタンダードの活用や専門ベンダーの支援を受けるなど、外部支援を活用する方法も考えられる。
- AIの活用により、ポリシーと現況のギャップ特定や、複数のグローバルスタンダードの共通点の抽出、ポリシー策定とレビューなどの効率化が期待できる。
Our Solution
セキュリティガイドライン策定支援サービスによりセキュリティガイドラインの策定から対策実装までを一貫して提供します。https://www.nri-secure.co.jp/service/consulting/guideline
Somebody's Responsibility is Nobody's Responsibility: SRMs for the Win!|誰かの責任は誰の責任でもない: 勝利を収める責任共有モデルとは!
Session Summary:
- MSP(マネージドサービスプロバイダ)とクライアント間の責任分担の不明確さにより生じたセキュリティインシデントと、その解決策が提示された。
- 講演者はITがチームスポーツであると例え、だからこそルールが必要であると説いた。
- リモートマネジメントツールConnectWise の Critical(CVSSv3: 10.0)な脆弱性への対処スピードについてShodan から得たサンプルを元に調査したところ、情報公開から4日後でも79%が脆弱であったと報告した。
- クラウドでは責任共有モデルにて責任範囲が明確になっているが、オンプレミスではサービス提供者と明確に合意できていない場合があると指摘された。
Key Takeaways:
- 発注者・受注者双方による責任区分の明確化には、A.N.C.H.O.R(合意された測定指標、明確な範囲、明確な責任、データ管理要件、運用詳細、リスク特定)原則に基づく共有責任モデルの適用が推奨される。
- システムとサービスの範囲、ロールや権限、報告対象などの定義について、受発注者間で合意しておくことが肝要である。
- 発注者・受注者双方がインシデントの定義や対応手順、ログ保持ポリシーなどを事前に明文化し、「誰かの責任」を「誰の責任でもない」状態にしないことが重要である。
Our Solution
サードパーティ・サイバーセキュリティ・デューデリジェンスサービスでは、自社にとって重要度の高いサービスプロバイダなどの事業者の洗い出しや、そのうち特に高いセキュリティ水準が求められる組織の洗い出しなどを一貫して支援します。https://www.nri-secure.co.jp/service/consulting/cybersecurity-due-diligence
Exposure Management: Defining the New Cyber Risk Equation|エクスポージャー管理(露出管理): 新たなサイバーリスク方程式の定義
Session Summary:
- 攻撃対象領域の爆発的増加により、従来の脆弱性管理は限界に直面している。
- 一般的な組織の場合、平均83種のセキュリティツールを用いて、6~8つのチームが断片的にリスクを把握しているため、統合的なリスクの把握が困難なケースが多くある。
- 現代はAIの登場により、リスクの因果関係や優先度をリアルタイムに判断する時代である。
- 統合・予測・自律の3軸でリスク管理を再定義する戦略的アプローチとして、「Exposure Management」が紹介された。
- 最終的に「Agentic AI」によってリスクの把握から対応までを自律的に実行可能とする構想が提示された。
Key Takeaways:
- 将来的には、従来のExcelベース管理を脱し、リスク情報のリアルタイム統合と可視化が肝要である。
- 脆弱性、設定ミス、権限過剰付与の組み合わせが引き起こす「高リスク状態」を特定し、対応優先度を判断することが必要である。
- 従来の属人的かつ局所的なセキュリティ対応から脱却し、検出されたリスクに対する優先順位付けと情報連携の自動化を段階的に導入することの重要性について紹介された。
Our Solution
マネージドASMサービスにより、発見されたIT資産のトリアージ、検出された脆弱性の分析をはじめ、緊急度の高い脅威の見極め、通知・レポーティング、および推奨対策助言まで一元的に支援します。https://www.nri-secure.co.jp/service/consulting/asm
Enterprise Security Evolution: The Blindingly Fast and the Glacially Slow|エンタープライズ セキュリティの進化: 目もくらむほど速いものと、氷河のように遅いもの
Session Summary:
- 現代の複雑化するセキュリティ環境において、巧妙化するサイバー攻撃やサプライチェーンにおけるリスクなど組織が直面する主要な課題について述べられた。
- 課題への対策として、多層防御のアプローチの重要性を改めて強調するとともに、早期の脅威検知と対応のためのインテリジェンス活用や、インシデント発生時の迅速な復旧体制の構築の重要性が語られた。
- 対策の実行には、経営層の理解とコミットメントが不可欠であり、組織全体で継続的に最新の情報を収集しながらセキュリティ対策に取り組むことを推奨している。
Key Takeaways:
- セキュリティ環境の整備において、まず現状のセキュリティ体制の評価と脆弱性の特定を行い、その上で具体的な対策を計画・実行するという段階的なアプローチが重要となる。
- 経営層を含め、セキュリティはコストではなく投資であるという共通認識を持ちながら、サプライチェーン含めたセキュリティ対策を推進する必要がある。
- セキュリティ環境・動向には時に目も眩むほど早く変化する要素が存在し、整備した環境において急に脆弱性が生じることもあるため、CSIRTや脆弱性モニタリングの高度化など迅速な対応体制が求められる。
Our Solution
CIS Controlsによるサイバー攻撃対策の強化支援によるセキュリティ対策状況の可視化と実装支援を行います。サイバーセキュリティ経営ガイドライン対応支援サービスによる経営観点でのサイバーセキュリティ対策推進支援を行います。
https://www.nri-secure.co.jp/service/consulting/ciscontrols
https://www.nri-secure.co.jp/service/consulting/csm-guideline
Hacking Exposed: Next-Generation Tactics, Techniques & Procedures|ハッキングの暴露:次世代の戦術、テクニック、手順
Session Summary:
- 特に国家支援型の脅威アクター「Famous Chollima」の最新の攻撃手法の実例として、求職活動が攻撃の入り口となったケースを紹介、使われた技術の実演などの情報が共有された。
- 同攻撃者は、リモートでAIとディープフェイクを活用し北米の企業へ偽装就職に成功し、支給されたPCを使って内部侵入に成功したことが分かった。
- 攻撃者の侵入の手口は、より秘匿性が高く検知されにくい新型のC2技術への切り替えが進行中である。
- ソーシャルエンジニアリングと既存ツールの悪用が巧妙に組み合わされている。
Key Takeaways:
- 昨今顕著になっている偽装就労からの内部侵入のリスクに対処するために、対面による実在性の確認のステップを採用プロセスに適切に取り入れることが推奨された。
- AI活用による偽装候補者の増加を見据え、採用チームへのセキュリティ教育を行うことが望ましい。
- TailscaleやAnyDeskなど、利用していないRMM/VPNの監視ルールを強化することが重要である。
- 脅威インテリジェンス連携とより積極的な対応体制を構築し、攻撃者のTTP(戦術・技術・手順)が常に変化することを前提として追跡・更新・対応策の見直しが必要である。
次回予告
次回は「RSAカンファレンス2025 注目セッション|脅威情報とインシデント対応とキャリアを徹底解説」にて、「脅威情報・分析・対策」と「インシデント対応と組織能力」、「キャリア・育成」に関する主要セッションの詳細と対策について解説します。ご期待ください。
[1] GitHub - SentiConSecurity/NIST_CSF_Maturity_Tool: NIST CSF Maturity Toolkit
