セキュリティ経営をシンプルに｜Secure SketCH を一般公開

2018年4月25日、ＮＲＩセキュアはセキュリティ対策実行支援Webサービス Secure SketCH を正式にローンチしました。これは約2ヶ月前、2018年2月22日の公表にて「4月から無料で提供開始」とご説明していた内容です。今回のローンチは一般公開の位置づけであり、Secure SketCHサービス専用ページから新規登録できるようになります。

いつでも、くりかえし

Secure SketCHの一般公開に関するポイントは、以下の3点に整理できます。

1. 新規登録（Sign up）
   Secure SketCHサービス専用ページから、インターネット経由で新規会員登録ができる
   
2. 設問回答（Input）
   会員登録プロセス完了後、Webサイトに初回ログインすると、Webベースで対策状況を回答できる
   
3. 対策状況の見える化（Output）
   対策状況の回答を完了すると、すぐに評価結果を知ることができる　

図1：Secure SketCH サービス利用までの流れ

日本全国のセキュリティ担当者の皆さまは、多種多様なセキュリティ関連業務を抱え、日々変わりうるセキュリティ脅威のキャッチアップやセキュリティ対策の見直し・更改などに頭を悩ませ、多忙な日々を過ごされています。

そんな状況に対応できるよう、Secure SketCH はWebで完結可能なプラットフォームになっているため、セキュリティ担当者の皆さまに、いつでも、くりかえし、使っていただけるサービスとなっています。

図2：Secure SketCH 繰り返し可能なサイクル

世界中のサイバー攻撃者がインターネットやクラウドを積極活用して、脅威情報や攻撃ツールをタイムリーに共有・活用している時代だからこそ、企業のセキュリティ担当者もプラットフォームサービスを通して、総力を結集し、デジタル時代ならではの「自助の効率化」および「共助の恩恵」を受けれるようになるべきと考えています。これは、Secure SketCH が目指している大切な世界観の一つです。

セキュリティ経営をシンプルに

Secure SketCH のコンセプトである「セキュリティ経営をシンプルに」とは、どういう意味が込められているのでしょうか？その背景・意図を簡単に説明させてください。

2015年12月に、サイバーセキュリティ経営ガイドラインが公開されて以降、また昨年のRSAカンファレンス2017では、ビジネスが主導するセキュリティというキーワードが多用されており、もはや企業にとってセキュリティ対策は、IT部門だけの課題ではなく、企業全体・企業グループ的な取り組みへと、ここ数年で劇的に進化しています。

事実、IT部門主導であるも、自社の経営層、ビジネス部門、法務・広報部門などを巻き込んだセキュリティ委員会的な会議体を定期開催する企業は増えてきており、IT・セキュリティ部門には業務遂行の過程で、専門性が高いことだけでなく、柔軟かつ分かりやすいコミュニケーション・情報共有スキルが求められています。

 ＜Secure SketCH における"シンプル"とは？＞

1. 伝える、分かるインターフェース
   得点、レベル、偏差値など、どんな人でも馴染みある表現を使う
   → 対策の全体像を迅速かつ定量的に把握できるため、効率的に情報共有できる
2. 用意されたフレームワーク
   グローバル基準を基にした独自のセキュリティ対策フレームワークを整備
   → 用意されたレールに沿って回答可能（モノサシの選択に迷わない）
   ※Secure SketCH独自のフレームワークは後日のブログにて紹介 
3. ナレッジの蓄積・継承
   企業のセキュリティ担当者の「チーム仕事」や「業務の引継ぎ」を考慮
   → セキュリティ担当の同僚・上司など、必要なメンバーをサイトに招待可能
   → Web上にナレッジが蓄積するため、後任や新任への業務引継ぎを効率化

図3：Secure SketCH 評価画面

昨今、働き方改革などのキーワードがトレンドになっています。その波は情報セキュリティ対策の現場にも及んでいるため、Secure SketCH は業務効率化の一手段として活用することができます。

ブログのその後 → 継続は力なり

セキュリティベンダーとして、そこで働くセキュリティコンサルタントおよびセキュリティエンジニアとして、われわれのケイパビリティを、デジタル時代の要請、及びサイバーセキュリティ脅威が日々高度化している現在の時勢に間に合わせることが欠かせません。

その一例が情報発信です。われわれの情報発信の質・量を、お客さまのニーズ・期待に、より合致したものにするためには不断の対応を継続することが欠かせません。2018年2月21日 に、ブログを開設して、始めての投稿をして以降、週1回以上の新規投稿を継続しています。

　 図4：Secure SketCH Blog

Blogは、まだまだ改善・向上の余地を多分に残していますが、今後も時代要請に適応したケイパビリティを磨き続けるため、Blog投稿を継続してまいります。

DCPAサイクルという考え方

ここまでの Blog を読んで、Secure SketCH に魅力を感じていただいた方は、是非ともサービス専用ページ から、新規登録（無料）して、Secure SketCH による見える化エクスペリエンスを試してみてください。

先日ある書籍において、DCPAサイクルという考え方を知りました。従前のPDCAサイクルとは異なり、ネット全盛なデジタル時代には、積極的に実行してみる。とにかく動いて、あとから軌道修正をはかる方が、結果的に速く正解にたどり着くというような論調でした。これは、DevOps や アジャイルにも通用するメンタリティーであり、品質と速度が同時に求められる現代のトレンドを象徴していると感じました。

セキュリティという分野では、DCPAサイクルの適用は難しいと考えられる方もいるかもしれません。しかし、Secure SketCH を活用することで、これと同様のアプローチを実現することが可能になると考えています。

Secure SketCH には、対策を実施した場合にどのようなスコアになるかを「シミュレーション」する機能があります。加えて、対策状況は常にWeb上で管理・更新し続けることが可能であるため、継続的に企業のセキュリティ対策実態に適応することができる柔軟なプラットフォームです。ぜひ、デジタル時代にセキュリティを強化していくためのモノサシとしてご活用ください。

さいごに、Secure SketCH が、企業のセキュリティ担当者の皆さまに、末永く愛されるサービスとなるよう、さらなる改善・強化を継続していきます。