サイバーセキュリティ、あるいは情報セキュリティと呼ぶものは、広大な分野である。一人の人間がサイバーセキュリティ全体の専門家になることは不可能なほど広大です。サイバーセキュリティの専門家」になることは、「医学の専門家」になること以上に不可能なことなのです。
多くのプロフェッショナルは、特に特定の専門分野を持っている場合、サイバーセキュリティの様々な側面に目を奪われ、時には自分の専門分野の色眼鏡ですべてを見ることになりかねません。
その上、サイバーセキュリティの管理には、ユニークな側面もあります。サイバーセキュリティの管理は、いくつかの理由から他のタイプの管理とは異なります。
サイバーセキュリティの大きな側面と、なぜ違うのかを見てみましょう。
なぜサイバーセキュリティなのか?
サイバーセキュリティには、以下のような仕事があります。
- サイバーセキュリティのインシデントを回避する
- インシデントを回避するための、アイデンティティ管理や事業継続性管理
- インシデントを回避するための、脆弱性管理、マルウェアからの保護、他の信頼できるシステムからしかシステムにアクセスできないようにするなどの技術的対策。
- 個人情報保護法等の国内および海外の法令遵守対応。
- PCI-DSSなどの業界コンプライアンス対応。
- ISO27000、NISTなどの規格コンプライアンス対応と、それに代わる無数の要求事項
- 社内コンプライアンス対応。
私たちはどこにいて、どこに向かっているのか。
ほとんどの組織は、サイバーセキュリティに関する状況を理解する必要があります。
コンプライアンスに関する状況は、対応できていないものをリストアップすればよいので簡単です。
インシデントを回避することがセキュリティにつながる、あるいはセキュリティを確保することがインシデントの回避につながる等、セキュリティの定義には様々なものがあります。
セキュリティを測る最も一般的な方法は、その反対であるリスクを測ることです。つまり、リスクが少ないほどセキュリティが高く、その逆もまた然りです。別の方法として、サイバーセキュリティのインシデントを数えるという方法もあります。
あまり知られていませんが、成熟度評価もあります。
また、広く使われている技術やソフトウェアベースのセキュリティ対策と比較することも、現状を把握するための一般的な方法として挙げられます。
我々はどこにいて、どこに向かっているのか?コンプライアンス、リスク/セキュリティ、技術的な状況(成熟度)、賢明さ、そして定期的に見直すことのできる改善目標を設定することで、答えを出すことができます。
どうすれば目標に到達できるのか?
ここで、サイバーセキュリティの専門家の色眼鏡が最も強く働くことになります。
リスク管理の専門家であれば、他のどのようなアプローチよりもリスクを低減する計画を立てるでしょう。
もしあなたがコンプライアンスの専門家であれば、他のどのようなアプローチよりもコンプライアンスを向上させる計画を立てるでしょう。
もしあなたがテクニカルスペシャリストであれば、他のどのようなアプローチよりも技術ソリューションを導入する計画を立てるでしょう。
もしあなたが成熟度のスペシャリストなら、他のどのようなアプローチよりも成熟度を向上させる計画を立てるでしょう。
どのアプローチを使っても、あなたの評価基準や成功基準は、他のアプローチとは大きく異なるでしょう。
サイバーセキュリティの価値を証明できるか?
サイバーセキュリティの究極は、インシデントが発生しないことです。
ネガティブな結果が無いと成果が見えないため、サイバーセキュリティの価値を証明することは非常に困難です。これはセキュリティマネジメントに特有のものです。
また、サイバーセキュリティの活動と結果の繋がりは非常に弱いです。例えば、あるシステムを2倍の頻度でペントテストしたとしても、それによってそのシステムが必ずしも2倍安全になるわけではありません。しかし、1時間に2倍のサンドイッチを作って売れば、原理的には2倍の利益を上げることができるのです。
ポジティブなセキュリティ目標を定義することは可能だと思いますが、現在このアプローチは一般的ではありません。
価値を証明するのが難しいもう一つの理由は、すべての情報システムが同じ程度にビジネス目標に貢献するわけではないことです。そのため、複雑なIT環境の保護に成功しても、それをビジネスの重要な目標の保護につなげることができないのです。
さらに、現代のIT環境は何層にも重なっており、それらをすべて保護することは現実的でない、あるいは費用がかかりすぎるという問題があります。
また、組織やIT環境は常に変化しているため、静止しているわけにはいきません。
サイバーセキュリティの価値を証明することが困難なため、組織内で必要な賛同と投資を得るのに多くの問題が生じています。
私たちは、必要なことをすべて知っているのでしょうか?
セキュリティを定義することの難しさ、セキュリティを管理するためのさまざまなアプローチ、環境の複雑さ、そして、「負の成果物」を生み出すという事実の結果、サイバーセキュリティ管理者は、不完全な情報の霧の中にいることに気づかされます。
組織やIT環境について知るべきことをすべて知っているわけではありませんし、状況を評価して改善を図るためのツールも、最良のものである場合もあれば、そうでない場合もあります。
サイバーセキュリティは、私たちが手に入れたい情報に比べて、扱える情報が限られていることも特徴的だと思います。
どうすればいいのか?
Evidence Based Cybersecurity Management は、現在コンプライアンスやリスク、テクノロジーといったアプローチを好んでいる実務家の助けになると思います。
最も重要な理由は、自己補正が可能なことです。成功基準を達成できなかった場合、インシデントが発生した場合、新しい要件が発生した場合、それを管理システムにフィードバックして軌道修正することができます。これは、従来のアプローチでは必ずしもそうではありませんでした。
もし、あなたのチームが、複雑な環境の中で、あらゆる機会を捉えて学び、教訓を適用することを望むなら、Evidence Base Cybersecurity Management が必要です。