{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
新たなセキュリティ戦略のあり方とは? - サイバーインテリジェンスを活用した戦略立案
2023-02-16
変わりゆくサイバートレンドと「フレームワーク型」セキュリティ戦略立案の弱点
企業では、国内外の公的機関が公開する法令・ガイドラインまたはフレームワーク等を参考に、現在の自社におけるセキュリティレベルとのギャップを分析してセキュリティ戦略を導くとともに、その実行の礎となるロードマップを策定してきました(本稿ではこれを「フレームワーク型」と呼称します)。この手法は、多くの企業におけるセキュリティ対策の体系的な底上げに貢献したと言えるでしょう。
一方で、大規模な情報漏えいや重要インフラへの影響等、セキュリティインシデントは後を絶たず、その手法も刻々と進化・巧妙化を続けています。このような状況下において、企業のセキュリティ戦略や施策の立案手法は、このままで良いのでしょうか。
本稿は、このような時勢を踏まえ、「フレームワーク型」の戦略立案手法にみられる問題点と、これからのセキュリティ戦略・施策立案のあるべき手法を考察します。
まず、「フレームワーク型」の戦略立案には、以下のような問題が散見されます。
図表1:「フレームワーク型」セキュリティ戦略立案に見られる問題
上述の通り、フレームワークベースで体系的・網羅的に戦略や施策を立案・実行していくことにも十分意義があるため、一概に「フレームワーク型」を否定するものではありません。一方、刻々と進化・巧妙化を続ける脅威や「自社が影響を受けそうな」脅威を把握した上で、優先度の高い施策をタイムリーに取り込みながら対応を推進することが併せて肝要と考えられます。
サイバーインテリジェンスを活用したセキュリティ戦略立案
「フレームワーク型」の問題点を補完するセキュリティ戦略・施策立案の考え方として、サイバーインテリジェンスの活用が挙げられます。様々なソースから情報をインプットし、その分析を通じて自社が優先して対処すべき脅威を特定するのです。このインテリジェンスを基に自社のセキュリティ戦略・施策の立案を行います。それだけでなく、例え期中であっても、立てた戦略や施策は柔軟に転換します。敵(攻撃者)が刻一刻と戦い方を変えているのであれば、味方(自社)もそれに合わせて変えていくことが当然の流れと言えるでしょう。
また、この「インテリジェンス型」の戦略・施策立案は、「フレームワーク型」における多くの問題を解決し得ます。
図表2:「インテリジェンス型」が解決する「フレームワーク型」の問題
繰り返しになりますが、「インテリジェンス型」は「フレームワーク型」を否定するものではないため、全ての企業が「インテリジェンス型」に即移行すべきとは言えません。一方で、「フレームワーク型」である程度の成熟度を達成した企業については、順次「インテリジェンス型」に転換、あるいは少なくとも両者を併用して戦略・施策の立案を行うことが望ましいと言えるでしょう。
図表3:セキュリティ戦略立案における「フレームワーク型」アプローチと「インテリジェンス型」アプローチの違い
サイバーインテリジェンスに基づくセキュリティ戦略立案の方法
「インテリジェンス型」で戦略・施策を立案するには、どのようなアプローチが必要なのでしょうか。ここでは、その方法を4つのステップに分けてご紹介します。
図表4: 「インテリジェンス型」セキュリティ戦略立案のステップ
ステップ1では、第二稿でご紹介した通り、セキュリティ対策の単位で現行の環境を分類します。それぞれの環境で打たれているセキュリティ対策の洗い出しを併せて行うことが重要です。
ステップ2では、各種ソースから情報を収集し、自社が影響を受けそうな脅威や動向等を識別します。この内容については、一部第一稿でも触れています。本ステップの結果、その時点で「自社にとって警戒すべき脅威でない」と判断できる情報の場合は、この時点で終了しても問題ありません。
ステップ3では、ステップ1で分類した対象それぞれに、ステップ2で収集した脅威や動向を当てて評価していきます。並行して、「その脅威の成立を防ぐ、あるいは被害を最小化するための対策」を考えます。この対策は、システム設定レベルの場合もあれば、製品の導入を伴うもの、プロセスやセキュリティ規程類の見直し、教育、あるいは戦略レベルでの方針変更等、多岐に渡ります。ここで導出した対策から、「各環境で既に打たれている対策」を除したものが、「実行すべき施策」となるのです。
ここまでで「やるべきこと」が導かれましたが、これを実行に落とすためには、ステップ4として以下のような視点で検討が必要です。
- 実行是非: セキュリティ上の観点で「必要である」ことは導かれたが、コストやリソースの観点で「本当に実行するか」は別問題
- 実行時期: 上述の理由から、「すぐにはやらないが来期やる」という結論になり得る。一方、効果はさほど大きくないが、大きなコストやリソースを必要としないという理由で「すぐにやる」という結論になり得る
- 優先度: 同じようにリソースやコストを要求する施策が横並びになった時に、どの施策を優先して実行するかの判断が必要
- 既存施策との整合: 既に実行している、あるいは実行予定の施策に統合できる、あるいはそれと相反してしまうような施策は、実行の方法を慎重に検討すべき
このような検討を経て、自社におけるセキュリティの戦略や、実行すべき施策を特定し、期初・期中を問わず柔軟に変更していく仕組みが確立されます。
おわりに
上記の取り組みにより、サイバーインテリジェンスに基づいて自社のセキュリティ戦略や施策を導き出すことができます。また、この方法を採用することで「フレームワークのここが遵守できていない」という理由ではなく、「自社に差し迫っているこのような脅威がある」という明確な根拠をもって、施策の必要性を語ることができるようになります。
一方でこの方法を採用し、自社で実行するためには、以下のようなスキルを持った人物が必要になります。
自社における各環境のシステムおよびそこで実行されているセキュリティ対策の理解
脅威情報の解釈とインテリジェンスへの落とし込み
自社ビジネスを踏まえた戦略への昇華
また、単に脅威の裏返しで施策を出すのではなく、昨今の市場動向などを勘案して対策を導くことができるよう、トレンドに精通している必要があります。現在では境界型防御ではなく、ゼロトラストが主流になっている点が最たる例でしょう。
上記の全てを自社の要員で担うのか、また、どのような部門と連携する必要があるのかなどを検討し、体制を構築していくことがセキュリティ戦略方法を変革する一歩目とも言えます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
