マッピングで対策を見直す
企業などのセキュリティ対策において、本来は人や組織の体制、プロセスなどが適切に定義されているべきだが、実際には複雑な事情が絡み合って難しいだろう。齋藤氏は、人や組織の観点からセキュリティ対策の見直しを考える上で、企業を構成する各部門の役割、IT担当者の業務やスキルをマッピングして整理することから始める方法を紹介した。
例えば、部門の位置付けでは十字方向の横軸に「ビジネスプロセス」と「技術的」、縦軸に「一般的・利用」と「専門的・設計構築側」を定めた場合、営業部門は「ビジネスプロセス」「一般的・利用」寄りの象限にマッピングされ、開発部門は「技術」「専門的・設計構築側」よりの象限にマッピングされる。IT部門(情報システム部門)の守備範囲はほぼ真ん中にマッピングされるという。
同様の方法をセキュリティ対策に当てはめた場合、齋藤氏によれば、現代型脅威対策の推奨モデルとされる米国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」や、経済産業省の「サイバーセキュリティ経営ガイドライン」の内容は、どちらも「ビジネスプロセス」「専門的・設計構築側」寄りの象限にも数多くマッピングされる。攻撃検知やアクセス制御といった方策は「技術的」「専門的・設計構築側」の象限にマッピングされる。
マッピングでセキュリティ対策の位置付けを整理する(齋藤氏の講演スライドより)
こうしてセキュリティ対策の個々の位置付けを整理することにより、自社がどの部分から取り組むべきかを把握しやすくなる。NISTや経産省の指針は、これまで重視された技術的な対策とは異なるもので、それらを参考にすれば、「ビジネスプロセス」「専門的・設計構築側」の対策では、サイバーセキュリティの責任者(CIOやCISOとも呼ばれる)の存在が重要であり、同時に、システムの調達プロセスの精査などITシステム戦略に関するエンタープライズアーキテクチャも鍵になるという。
このような議論は大企業向けという見方もできるが、前段で齋藤氏が指摘したように、セキュリティ事故が規模に関係なく発生し、脅威のトレンドからも対策では人や組織に着目すべき状況にあるため、中小企業でも取り組むべき時期にあると言えそうだ。齋藤氏は、企業が自前ですべきことと外部に任せることの仕分け(責任範囲の明確化)、セキュリティ対策が技術課題ではなく経営課題であることを認識すべきだと提起している。