最近の経営層は、サイバーセキュリティに対する感度が高くなりつつある。そのような経営層は、現場のセキュリティ担当者に対してセキュリティ対策の改善命令を出すことが珍しくはなくなった。
その指示を受けた担当者が改善策を実施する場合、コンセプトや狙いは様々あっても、最終的な判断は製品やサービスの選択や実装に落ち着くことがほとんどだろう。場合によっては、現在導入済みの製品やサービスをやめる、あるいは変更することもある。
今回は、こういったセキュリティ対策の実施に際して、導入や停止、変更をどのようなアプローチで決定していくのかについて、2つのケーススタディーを紹介しながら解説する。
大まかな改善依頼はこう考える
最初のケーススタディーは、セキュリティ担当者が経営者から大まかな改善依頼を受けたときの会話である。
経営層:今ではウチも、結構な種類のセキュリティ対策製品やサービスを使うようになっているようだね。ただ、新製品や新サービスの売り込みが激しいから、機能をもっと良くしたり、コストをより下げたりできるのではないか。一度、見直してみてほしい。
セキュリティ担当者:どういった観点で改善を検討しましょうか。
経営層:その判断はキミに任せるよ。
セキュリティ担当者:了解しました。とりかかります(とは言ったものの、基準も何もないし、どう判断しようか。とりあえずコスト削減かな)
(数日後)
セキュリティ担当者:先日ご指示のあったセキュリティ対策の改善案を作りました。(リストを提示して)今利用している製品やサービスをこのように整理してみました。
経営層:(一読して)かなりの製品やサービスをやめるということだな。これでウチのセキュリティ対策レベルは大丈夫かね?
セキュリティ担当者:…(それなら最初に「レベルは下げないこと」という基準を出してほしかったな)
このような、基準も何もないアバウトな改善依頼に対しては、「機能点」「価格点」を検討するアプローチがお勧めだ。このアプローチでは、それぞれの機能の必須度合いとそれを実現するためにかかるコストを比較していく。
基本機能と加点機能に切り分ける
まずは機能の切り分けを行おう。機能は必ず実現しなければならない「基本機能」と、あればなお可とする「加点機能」に切り分けるとよいだろう。
この際、できればセキュリティ専門家の協力を仰ぎたい。切り分けを行うには、「該当するセキュリティ対策機能が低減するリスクはどういったものか」「自社に影響があるのか」「リスク値がいかほどのものなのか」といったリスクのアセスメントを行う必要がある。このあたりはまさにセキュリティ専門家が得意とする領域だ(図1)。逆に専門家以外では適切な切り分けは難しく、不十分な強度の対策になりかねない。それでは単なる改悪となってしまう。
なお、切り分けの手法としては例えば▼FMEAを参考にしてほしい。同手法ではリスクを定量化できるため、経営層に対して「各機能要件がどれほどリスク低減に貢献するのか」を見える化できる。経営層に対して、切り分けた後の機能要件の妥当性をうまく見せるためには、リスクを定量化するというアプローチは有用である。ぜひ意識してほしいところだ。
Failure Mode and Effect Analysis。故障モードと影響解析。
