今回はまず、セキュリティを確保するためのプロセスについて解説したブログから紹介しよう。スロバキアのイーセットが、企業におけるサイバーセキュリティ確保のロードマップをブログで提案した。サイバーセキュリティの専門チームを持たない企業が自社を保護するのに役立ててほしいとする。

 同社のロードマップ案では、サイバーセキュリティを確保するプロセスをA、B、C、D、E、Fの6工程に分けて説明する。

A.自社の資産、リスク、リソースを査定する(Assess your assets, risks, resources)

 何を所有しているか分からなければ、当然、保護もできない。このため、まずは会社のデジタル資産および物理的資産の目録を作成する。企業の基盤となるデータ、データを処理および保存するシステムだけでなく、データを送受信するエンドポイントも忘れずに含める。

 次に、会社のデータやシステムにとっての脅威を特定する。どのような人物が、どのような動機で、どの資産を狙って、どのような行動を起こすか、それがどのような結果をもたらすかを想定する。このような脅威の分析は米ベライゾンのデータ侵害調査レポート「Data Breach Investigation Report(DBIR)」でも行っている。DBIRでは「Vocabulary for Event Recording and Incident Sharing(VERIS)」と呼ぶ方法を用いてデータやシステムに起こったインシデントを分析して表に割り付ける。

ベライゾンのデータ侵害調査レポートの表

 保護するべき資産を査定し、それらに対するさまざまな脅威を特定したら、迅速な対応に利用できるリソースをリストアップする。サイバーセキュリティのスキルを持つ従業員や、社外のコンサルタント、地域のビジネスグループ、政府機関なども対象となる。

B.ポリシーを構築する(Build your policy)

 サイバーセキュリティの唯一の持続可能なアプローチは、優れたポリシーで開始し、優れたポリシーに基づくことにある。ポリシーは、まず最高幹部レベルのお墨付きから始まり、自然に詳細な説明に流れるのが理想だ。

 例えば「イーセットの公式ポリシーでは、書面、会話、電子記録、印刷などあらゆる形式の情報を偶然または故意による未承認の改ざん、あるいは破壊行為から全ライフサイクルを通じて保護することを宣言する」と記述し、そこから顧客情報アクセスのポリシーなど、具体的な説明へと続ける。

C.ポリシー遵守の管理手段を選択する(Choose the controls to enforce your policies)

 ポリシーに「承認された従業員のみ特定データにアクセスできる」と書かれている場合、ふさわしい管理手段としては、「従業員にID認証を求め、特定データにアクセスできるユーザーを限定する」ことが考えられる。

 さらに具体的に、「すべての従業員は、ユーザー名とパスワードなどユニークな認証情報によってID認証を行わなければならない」「ユーザー認証情報は共有してはならない」「データへの全アクセスはユニークIDごとに記録する」「定期的にログを見直し、異常がないか調査する」など、詳しく説明することも必要だ。

 管理手段を明確にすることで、新たに必要な製品を判断することができる。場合によっては、すでに使用している製品に、適切な機能が備わっている可能性もある。

D.管理手段を導入およびテストする(Deploy and test controls)

 導入は段階的に行う方がうまくいく場合が多い。規模が限られているあいだに問題を特定して解決策を見つけられるためだ。より経験のあるユーザーにまず公開し、最初のフィードバックを得て、改良したものをより幅広いユーザーに利用可能にする。

 テストの際には、技術的に動作するかだけでなく、効果も確認しなければならない。従業員やプロセスに大きな負担を掛けないことも重視する必要がある。

E.従業員、幹部、ベンダーを教育する8(Educate employees, execs, vendors)

 サイバーセキュリティにおいて、セキュリティ教育は見過ごされがちなステップだ。サイバーセキュリティの取り組みを成功させるには、社内の全員が、自社のサイバーセキュリティポリシーは何か、管理手段を正しく使用してどのようにポリシーに準拠するか、なぜコンプライアンスが重要か、準拠しない場合どういう結果を招くかを理解していなければならない。従業員のほか、幹部、パートナーやベンダー、および顧客の教育も軽視してはならない。

F.さらに査定、検査、テストを進める(Further assess, audit, test)

 サイバーセキュリティのロードマップには決して終わりはない。いったんポリシーと管理手段が構築され、教育が実施されると、次はテストや検査でセキュリティを再評価する番となる。これは社内で行うこともできるが、社外の組織と提携して客観的に評価してもらうと良いだろう。

 ベストプラクティスは、定期的に査定し、その結果に応じて防衛策を調整することだ。検査が予定されていないときでも、最新の脅威が登場すればそれに対応し、管理手段を調整する。

 また、システムやデータへの接続における変更にも注意を払う必要がある。新たなベンダーの採用、新たなパートナーとの提携、新たなデジタルマーケティング計画などは、セキュリティに影響を及ぼす可能性がある。従業員が退社する場合も、データやシステムのアクセスが適切に終了されているか確認を怠ってはならない。