本稿は、組織で利用するサイバーセキュリティフレームワーク(以下CSFと呼ぶ)についての運用コストの課題、効率化できるポイント、AIによる今後のさらなる自動化にむけて何が準備できるのかについて解説する。
また、PCI SSC 2025 Europe Community Meetingの中でPCI DSS(クレジットカードのセキュリティ標準)についての運用/効率化について多くのベンダが本テーマを取り扱い、業界注目度も高いといえる。
参考:
PCI SSC 2025 Europe Community Meeting 参加レポート|決済システムに対する新たな脅威とコンプライアンス運用課題
現代におけるコンプライアンス評価の課題
多くの企業では、自社システムやBtoB、BtoC向けのシステムを提供しており、それらシステムに適用される自社標準、顧客標準、業界標準等の守るべきコンプライアンスが存在する。このコンプライアンスの対応において現代の実態としては準拠させるべきシステムは複数、かつシステムに対しても複数のコンプライアンスの評価が必要、さらにはシステムは複数のエンドポイントや分散した環境で担当者もばらばら等、大規模な企業ほど「コンプライアンスの群れ」をまとめるのに苦慮している。
<図:コンプライアンス×システム数×担当者がもたらす煩雑さのイメージ>
▼実際のアセスメント前1ヶ月の典型的な流れ…
必要なドキュメントリストや面談予定を送ると、多くの組織が「パニック状態」に。
要件上必須とされているネットワーク図は前回から更新されていない、内部レビューも不足、セキュリティ研修実施率は40%程度…
#誇張ではなく、極めて現実的・よくある話。
効率化のために一般的に考えられるアプローチ
評価業務の効率化は「評価プロセスへのアプローチ」と「人(文化)へのアプローチ」の両面あると考える。
効率化のための評価プロセスへのアプローチの考慮点
評価プロセスの効率化を考えると、手動評価or一部自動化ツールを導入するとしても、下記考慮点を満たすよう設計することでCSF評価の運用は軽減される。自社のCSF評価の運用を新規作成/改善する際の一助として利用いただきたい。
<表:CSF評価のプロセス効率化のための観点と要件>
|
観点
|
要件
|
|
証跡収集
|
- 確認要件に対するレイヤ別の回答者想定の示唆(ネットワーク/インフラ/アプリケーション等どの担当者に向けた確認か。複数レイヤある場合、回答は[全てのレイヤ]か[何れか1つ]か)
- 回答者の残対応要件の可視化。
- 回答者に関係ないCSF内の他要件のアクセスの制限。(直接的な運用コストの削減は見込めないが、他担当者による回答のデグレード等、完全性観点で副次的に効率に影響)
- CSF要件や補記の原文の表示。
- 評価対象CSFの要件番号に対する組織で既に実施している他CSFの要件番号や既存証跡の紐づけ。【注1】
- 認証基盤やログ基盤等の複数システムに参照される技術的対策要件の自動マップ。
- ポリシー有無などの組織的対策要件の自動マップ。
|
|
証跡管理
|
- 要件単位に紐づけた証拠ファイル(Word, PDF, 画像など)の管理。
- 今期分・前年分等、その他過去の証跡の表示
- システム担当者の回答や証跡提出後のセキュリティ担当者の承認機能。
- 要件準拠ができない場合の代替コントロール管理機能(リスク管理、低減策管理、代替措置の承認管理等)
|
|
レポート作成
|
- CSF要件全体の評価ステータス(対応中、準拠、リスク受容等)の可視化。
- 審査機関向けの正式なレポート形式出力機能(例えばPCI DSSにおけるROC(Report On Compliance)等)
|
【注1】CSFの要件紐づけによって、他CSF要件も準拠しているといえることが望ましいが、既存のCSF要件がこれから実施するCSF要件を完全に包含しているパターン(下図の④)のみとなり、それ以外は結局、確認観点が残るため、あくまでも参考情報としての紐づけまでが目指したいゴールとなる。(複数のCSFを網羅した自社独自CSFを作成した場合、結局、差分要素で要件数があまり減らなかったり、特に3つ以上の場合はCSFの更新が入った場合、メンテナンス負荷の重さやリスク受容の際のリスクの考え方が複数のCSFの観点が入ってしまう煩雑性などの課題がある。そのため結局類似した証跡の参照は容易にした上で、準拠判断はセキュリティ担当者が逐次見たほうが効率的というのが著者の見解である。)
<図:異なるCSFの要件の紐づけのパターン>
効率化のための人(文化)へのアプローチの考慮点
人(文化)的な側面に関して効率化を考えると、「セキュリティ部門から依頼される機械的な年1回イベント用の準備」から「システムの日常運用上での継続対応」への意識改革が必要と考える。また、意識改革のための具体的なアプローチは下記に示すトップダウンとボトムアップの両方が必要となり、具体的な対応と運用効率化をもたらす効果は下記のように整理されると考える。
<表:CSFの運用効率化のための人に対するアプローチの整理>
|
アプローチ先
|
アプローチ
|
効果(意識改革)
|
|
トップダウン(経営層の関与)
|
- 経営陣へのセキュリティ施策のビジネス的メリットの教育。(「いかにビジネスを支援し、営業推進やコストセンターとして価値を発揮するか」を“数字”や“成果”で証明する取り組み。)
|
- 組織全体のセキュリティの文化の創出。(一般論として文化はトップが起点となり浸透するもの)
|
|
ハイブリッド
|
- 「組織自身の原則や方針」と「実施するCSF」の紐づきの明確化。
|
To経営層:「CSF評価」が「ITガバナンスの説明責任」に直結することのイメージアップ。
(CSF評価の運用効率化のための予算確保につながる)
To1線側:1線側の必要義務として対応しているという当事者意識の向上。
(2線からの依頼ととらわれることが多い。)
|
|
ボトムアップ(現場(1線)の巻き込み)
|
- 1線側へのセキュリティ・チャンピオン、コンプライアンス・チャンピオンの設置
(かつチャンピオンに対するコンプライアンスと最低限のベースラインであり、セキュリティの本質的なリスク低減とは別、という教育。)
|
- 1線側の必要義務として対応しているという当事者意識の向上。
- 有効な根拠を持つ一次回答率の向上
- リスクを許容する場合の、1線側からの能動的な代替措置の提案文化の浸透。
(細かすぎる仕様の場合は2線だけでは判断できず、1線側の利用技術の共有等、協力が必須となるケースも多いため)
- CSFの要件変更の際の現場からの理解の浸透(不満軽減)
- シフトレフト(セキュリティバイデザイン)の浸透による要対策件数削減
|
- 1線側が2線側に「何か気づいたらすぐ相談できる」窓口や雰囲気をつくり
|
- 1線への丸投げ感などに起因する不満の解消。付随して1線と2線の良好なパス創造による評価の品質向上。
|
例えば、エンジニアが積極的に「セキュリティ部門に相談に来て、“この自動化や変更管理プロセスには例外や調整が必要だ”と事前に言ってくる」等の文化を目指して行きたいものだ。
今後のAI活用による証跡収集/評価自動化に向けた準備
企業の実態とAI活用による証跡収集/評価自動化に向けた準備
2章の[効率化のための評価プロセスへの効率化のためのアプローチ] はありつつも、現行の自動化できる箇所については限界がある。現行では自動化が不可能だと思われる点とそれらがAIにより効率化される場合の考慮点を下記に整理する。下記の通り、今後のAI活用に備えて証跡となるデータをAIが解釈しやすい形式で管理することが重要だと著者は考える。
<表:AIにより自動化が期待できる範囲とそのための前準備>
|
|
現行の自動化の限界
|
今後のための準備
|
|
できている点
|
できていない点
(AIにより自動化が期待できる範囲)
|
|
①ログ要件
|
- 「収集」の自動化(評価対象システムより収集した監査ログを評価期間のスコープで監査人にアクセス権限を限定した専用ストレージに出力等。AIを活用せずとも実現できる)
|
- 「評価」の自動化。(定量的な要件(ログの保管期間等)は理論上、評価も可能と思われるが、「要件毎に評価条件式を作成する必要がある」、「各CSFやCSFの更新毎に調整が必要」など、運用コストのハードルが高い。)
|
- 監査期間に限定した評価対象ログ出力用のログストレージを用意しておく。(現状でも証跡自動収集の観点では、運用を効率化でき、今後のAIによるログ要件とログ実装を比較した評価自動化の備えともなる。)
|
|
②文書化系要件
|
- 「2回目以降の証跡収集」時の効率化(WordやPDFの文書格納パスやURLを管理し、効率化している企業は散見される。)
|
|
- 文書形式をAIや自動処理に適した構造化された形式(マークアップ形式(XMLを含む)等)で管理する。(代表例としては文書のエンタープライズWikiへの移行等)
※WordやPDFといったプロプライエタリ形式での管理は、変換時に見出し、ハイパーリンク、定義語へのリンクなどの重要な情報が失われる「データロス(情報欠落)」を引き起こす課題がある
|
|
③その他実装要件
|
|
|
- システム仕様書をAIや自動処理に適した構造化された形式(マークアップ形式(XMLを含む)等)で管理する。
- システム設定値をAIや自動処理に適した構造化された形式(JSONやYAML等)で管理する。
(代表例としてはインフラのIaC化や設定の上記形式のエクスポート機能を持ったベンダ製品への移行)
|
- (参考)PCI SSCも下記の通りDSSのXML化を進めている。[i]
- フェーズ1:DSS v4.1のXML版試作とフィードバック収集
- フェーズ2:他の標準文書(PTS、Software Standards、ROC、AOCなど)への拡大
- フェーズ3:他XMLスキーマへのマッピング対応
- 長期的に追加フェーズを設け、慎重かつ体系的に進める
AIの課題
一方でAIは万能というわけにはいかず、下記のような課題は今後も残る。
<表:Block, Inc社の証跡収集/評価のAIによる自動化出来た範囲/課題が残った範囲の事例 [ii]>
|
直近AIで実装できた範囲
|
AIで課題が残った範囲
|
- 認定情報の解析(「PCI DSSにおけるAOC」や「ISMS認証」の粒度では有効期限、カバー範囲等の確認自動化。
- 評価に精通した人材の人的確認は必要なものの、予想される証跡と準拠となるロジックの一次出力による確認工数削減。
- 評価に精通した人材の人的確認は必要なものの、関連する他CSFの要件番号の一次出力による確認工数削減。
|
- AIの出力の変動(2回目の評価の再現性)を完全に除去できない。
- 楽観評価(根拠が甘い評価)・虚偽情報(ハルシネーション)の排除不可。
- 用語や文脈の混乱による誤判定の根絶には至らない。(社内の統制基準と監査レポートの「コントロール」という用語の文脈違いによる混乱等。)
- 「わからない」と正直に回答させる堅牢な挙動設計のハードルは高い。
|
まとめ
本テーマの総括としては、以下の点が挙げられる。
- コンプライアンスは「年1イベント」から「継続保証」へと大きくシフトしていくべきであると考えられる。これは、システムの日常運用に統合された継続的なセキュリティ管理への転換が求められていることを意味し、組織文化そのものの変革が不可欠となる。
- また、CSF評価の複雑さを解消するには、技術面と文化面双方からの改革が鍵を握る。具体的には、担当者間の連携を強化し、トップダウンとボトムアップの両方からの意識改革を進めることが必要である。
- さらに、今後の効率化の基盤となるのは、AI活用を見据えた証跡管理の構造化である。そのためには、ログや証跡データをAIが判読可能なフォーマットで管理する体制を整備することが重要となる。
- しかしながら、現状のAI技術には限界があることを認識し、人による検証と組み合わせた運用が不可欠である。誤判定の防止や、AIでは対応しきれない不確定要素への対処も考慮に入れた運用設計が重要であると言える。
[i] PCI SSC 2025 Europe Community MeetingのSSC運営からの共有のセクションより引用
[ii] PCI SSC 2025 Europe Community MeetingのBlock, Incのセクションで紹介された 事例より著者が要約