本稿は、組織で利用するサイバーセキュリティフレームワーク(以下CSFと呼ぶ)についての運用コストの課題、効率化できるポイント、AIによる今後のさらなる自動化にむけて何が準備できるのかについて解説する。
また、PCI SSC 2025 Europe Community Meetingの中でPCI DSS(クレジットカードのセキュリティ標準)についての運用/効率化について多くのベンダが本テーマを取り扱い、業界注目度も高いといえる。
参考:
PCI SSC 2025 Europe Community Meeting 参加レポート|決済システムに対する新たな脅威とコンプライアンス運用課題
現代におけるコンプライアンス評価の課題
多くの企業では、自社システムやBtoB、BtoC向けのシステムを提供しており、それらシステムに適用される自社標準、顧客標準、業界標準等の守るべきコンプライアンスが存在する。このコンプライアンスの対応において現代の実態としては準拠させるべきシステムは複数、かつシステムに対しても複数のコンプライアンスの評価が必要、さらにはシステムは複数のエンドポイントや分散した環境で担当者もばらばら等、大規模な企業ほど「コンプライアンスの群れ」をまとめるのに苦慮している。
<図:コンプライアンス×システム数×担当者がもたらす煩雑さのイメージ>
▼実際のアセスメント前1ヶ月の典型的な流れ…
必要なドキュメントリストや面談予定を送ると、多くの組織が「パニック状態」に。
要件上必須とされているネットワーク図は前回から更新されていない、内部レビューも不足、セキュリティ研修実施率は40%程度…
#誇張ではなく、極めて現実的・よくある話。
効率化のために一般的に考えられるアプローチ
評価業務の効率化は「評価プロセスへのアプローチ」と「人(文化)へのアプローチ」の両面あると考える。
効率化のための評価プロセスへのアプローチの考慮点
評価プロセスの効率化を考えると、手動評価or一部自動化ツールを導入するとしても、下記考慮点を満たすよう設計することでCSF評価の運用は軽減される。自社のCSF評価の運用を新規作成/改善する際の一助として利用いただきたい。
<表:CSF評価のプロセス効率化のための観点と要件>
|
観点 |
要件 |
|
証跡収集 |
|
|
証跡管理 |
|
|
レポート作成 |
|
- (参考)ガートナーのレポートでは監査要件が250件以上かつ25%以上を自動化している企業では、監査費用が27%低いことが報告されている。(https://www.gartner.com/en/newsroom/press-releases/2021-06-08-gartner-survey-shows-62-percent-of-organizations-expect-external-audit-fees-to-increase-in-2021)
【注1】CSFの要件紐づけによって、他CSF要件も準拠しているといえることが望ましいが、既存のCSF要件がこれから実施するCSF要件を完全に包含しているパターン(下図の④)のみとなり、それ以外は結局、確認観点が残るため、あくまでも参考情報としての紐づけまでが目指したいゴールとなる。(複数のCSFを網羅した自社独自CSFを作成した場合、結局、差分要素で要件数があまり減らなかったり、特に3つ以上の場合はCSFの更新が入った場合、メンテナンス負荷の重さやリスク受容の際のリスクの考え方が複数のCSFの観点が入ってしまう煩雑性などの課題がある。そのため結局類似した証跡の参照は容易にした上で、準拠判断はセキュリティ担当者が逐次見たほうが効率的というのが著者の見解である。)
<図:異なるCSFの要件の紐づけのパターン>
効率化のための人(文化)へのアプローチの考慮点
人(文化)的な側面に関して効率化を考えると、「セキュリティ部門から依頼される機械的な年1回イベント用の準備」から「システムの日常運用上での継続対応」への意識改革が必要と考える。また、意識改革のための具体的なアプローチは下記に示すトップダウンとボトムアップの両方が必要となり、具体的な対応と運用効率化をもたらす効果は下記のように整理されると考える。
<表:CSFの運用効率化のための人に対するアプローチの整理>
|
アプローチ先 |
アプローチ |
効果(意識改革) |
|
トップダウン(経営層の関与) |
|
|
|
ハイブリッド |
|
To経営層:「CSF評価」が「ITガバナンスの説明責任」に直結することのイメージアップ。
To1線側:1線側の必要義務として対応しているという当事者意識の向上。 |
|
ボトムアップ(現場(1線)の巻き込み) |
|
|
|
|
例えば、エンジニアが積極的に「セキュリティ部門に相談に来て、“この自動化や変更管理プロセスには例外や調整が必要だ”と事前に言ってくる」等の文化を目指して行きたいものだ。
今後のAI活用による証跡収集/評価自動化に向けた準備
企業の実態とAI活用による証跡収集/評価自動化に向けた準備
2章の[効率化のための評価プロセスへの効率化のためのアプローチ] はありつつも、現行の自動化できる箇所については限界がある。現行では自動化が不可能だと思われる点とそれらがAIにより効率化される場合の考慮点を下記に整理する。下記の通り、今後のAI活用に備えて証跡となるデータをAIが解釈しやすい形式で管理することが重要だと著者は考える。
<表:AIにより自動化が期待できる範囲とそのための前準備>
|
|
現行の自動化の限界 |
今後のための準備 |
|
|
できている点 |
できていない点 |
||
|
①ログ要件 |
|
|
|
|
②文書化系要件 |
|
|
|
|
③その他実装要件 |
|
|
|
- (参考)PCI SSCも下記の通りDSSのXML化を進めている。[i]
- フェーズ1:DSS v4.1のXML版試作とフィードバック収集
- フェーズ2:他の標準文書(PTS、Software Standards、ROC、AOCなど)への拡大
- フェーズ3:他XMLスキーマへのマッピング対応
- 長期的に追加フェーズを設け、慎重かつ体系的に進める
AIの課題
一方でAIは万能というわけにはいかず、下記のような課題は今後も残る。
<表:Block, Inc社の証跡収集/評価のAIによる自動化出来た範囲/課題が残った範囲の事例 [ii]>
|
直近AIで実装できた範囲 |
AIで課題が残った範囲 |
|
|
まとめ
本テーマの総括としては、以下の点が挙げられる。
- コンプライアンスは「年1イベント」から「継続保証」へと大きくシフトしていくべきであると考えられる。これは、システムの日常運用に統合された継続的なセキュリティ管理への転換が求められていることを意味し、組織文化そのものの変革が不可欠となる。
- また、CSF評価の複雑さを解消するには、技術面と文化面双方からの改革が鍵を握る。具体的には、担当者間の連携を強化し、トップダウンとボトムアップの両方からの意識改革を進めることが必要である。
- さらに、今後の効率化の基盤となるのは、AI活用を見据えた証跡管理の構造化である。そのためには、ログや証跡データをAIが判読可能なフォーマットで管理する体制を整備することが重要となる。
- しかしながら、現状のAI技術には限界があることを認識し、人による検証と組み合わせた運用が不可欠である。誤判定の防止や、AIでは対応しきれない不確定要素への対処も考慮に入れた運用設計が重要であると言える。
[i] PCI SSC 2025 Europe Community MeetingのSSC運営からの共有のセクションより引用
[ii] PCI SSC 2025 Europe Community MeetingのBlock, Incのセクションで紹介された 事例より著者が要約
