セキュリティ対策を考える前に自社の「リスク」と目指すべき「基準」を把握せよ
岡田セキュリティ対策では、何にどのくらい投資をすれば会社のリスクをコントロールできるか、という話の前に、いま一体どれくらいの脅威にさらされているのかをはっきり知る必要があります。その認識がない会社では、「セキュリティ投資はいらない」と思っているんじゃないでしょうか。その意味で、マイクロソフトが提供しているクラウドサービスのポータルは使いやすそうなツールだと思いました。今の全体として世の中がどうなっていて、そのうち自社にどのくらいの脅威が影響を与えるのかがダッシュボードですぐに分かる、と。こういうサービスが提供されれば、ユーザ企業の人材は本来の自分の仕事に打ち込めるようになりますね。どうやって無駄なく効率よくセキュリティ確保を実現し、その結果ビジネスに集中させるのか、というところに価値があると思います。
河野例えば、マイクロソフトでは家庭向けに「Microsoftファミリーアカウント」を提供しています。お子さんのアカウントを保護者が管理できるというものです。私の家でも使っていて、2人の娘がどんなウェブサイトにアクセスし、どう利用しているかが分かります。だから安心して子供たちに自由にPCを使わせることができています。子供たちに使ってほしくないと考えているアプリをインストールしようとしたり、好ましくないウェブサイトにアクセスしようとチャレンジしたことも分かります。そんなときに叱るのではなく「どうしてそれを使おうと思ったの?」と理由を尋ねます。目的を聞いて、「それなら、セキュリティ的に安全なこういう方法がある」と伝えています。安全、安心のための子供たちとのコミュニケーションのために家族向けのアカウントを使っているんです。これを拡大していけば、会社でも同様の安心を得ることができるのではないかと思うんです。
岡田ちょっとした余談ですが、僕のオフィスには、先日から「Netatomo」というセンサを置き、室温や気圧、CO2の濃度、ノイズレベルなどを計測し、モニターしています。オフィスの空気の質が悪くなるまま仕事をしてコンディションに支障をきたしてしまっては良くないので、これをモニターしようと思ったんですね。そこで、CO2濃度がしきい値を超えたら不意にアラートが来るんです。そこで、自分が知らない間にオフィスで働いているスタッフがいるって、分かっちゃうわけですよ。それを見てSlackで、「換気してね」ってメッセージを送ると、最初は「何でオフィスにいるって分かるんですか」って。嫌がられるかなと思ったら、むしろ喜んでくれて。最初はそのつもりがなかったのに、僕は「見守るマネージャー」になっちゃっいました(笑)。今はそのセンサーデータをスタッフも見ることができるようにして、自発的に換気できるようになっています。
見えなかった空気をモニターすることで、リスクレベルをばしっと可視化する。そうすると他のことも見えてきて、また習慣も変わってくる、という連鎖はとても重要なポイントかなと思います。
河野家の中でも組織の中でも、そのようなモニタリング機能の設置と基準作りがガバナンスの基本ですね。基準を持たずになにかをやっても意味がありません。例えば、先ほど取り上げていただいたクラウドサービスのポータルの1つに「Office 365 Secure Score」というのがあり、基準の一つとして参考になるのではないかと思います。
岡田単純に、企業のセキュリティレベルが世界平均ではどのくらいで、自社ならはどこが足りていないかが分かると、まず何点を目指すべきかといった目安になりますね。まずそこから始められるというのは親切かもしれません。
河野企業の社長たちも悩んでいると思うんです。交友のある社長さん同士や社内向けにセキュリティの話をしたいけれど、そのネタがないし、ボキャブラリもないと。Office 365 Secure Scoreのようなものがあれば、話すきっかけになりますし、ダッシュボードが示す値を共通言語とすれば、コミュニケーションがとりやすくなります。ですから、まずはそういったものを企業のプラットフォームとして使っていただきたいと思っています。特にマイクロソフトのプラットフォームでは、ADやAzure ADをもとにいろいろなイベント情報を収集して活用できるようにしているので、ルールを違反したときに注意する「叱る」使い方だけでなく、誰が作ったドキュメントが他からよく参照されているか、活用されているかという「ほめる」方にも使えます。これならIT部門だけでなく、人事や事業部門とも連携して共通のプラットフォームとして活用いただけるのではないでしょうか。
岡田ビジネスの改善状況も見えてくるということですね。
河野そうです。例えば、非常に多くのメールが送信されているという状況が確認できた場合、それはメールマガジンなどを発行しているのか、それともウイルスに感染してメールがばらまかれているのかは、メールの数だけを見ていては分かりません。しかし、自社内の他の業務と比較したり、マイクロソフトが提供しているセキュリティインテリジェンスを利用して複合的に分析できれば、「最近のウイルスはメールをたくさん送信するから、これが原因かもしれない」などと、いろいろなことが分かります。
岡田インテリジェンスは一般的に、それを使うユーザーに求めるリテラシーが高く求められるので、普通の企業には使いこなすのが難しいと思います。が、普段使いのダッシュボードにまで抽象化されれば、誰でも使いこなせるかもしれませんね。
河野お客さまに一方的に「セキュリティをやらないとだめですよ」と言って終わるのではなく、ダッシュボードの情報をもとに、「ここに注意して見ておいて、何かあったら連絡をください」というレベルで、“共通言語”ができたわけです。岡田さんのところもそういったことに取り組んでおられますよね。
岡田はい。状態の可視化を共通言語にするって、すごく重要なんですよね。OWASPで長く取り組んでいるプロジェクトに、OWASP SAMMという、セキュリティプラクティスの成熟度モデルがあります。このフレームワークに基づいて、自組織の状況をレーダーチャートにできるんですよ。例えば、ガバナンス、ソフトウェア設計と開発、セキュリティ検証、環境のハードニング(脆弱な部分を解消することでセキュリティの堅牢性を高める取り組み)といった領域ごとに、自社はどのくらいのレベルにあるのかを数値にして見せルことができる。こうすれば、社長さんも分かるわけですよ。「なんで、うちの会社はうまくいっていないのか」が、です。そこで、可視化したものを共通認識にすると、「この先はこうしていきましょう」と、段階的な戦略も立てられます。
