グローバルに事業を展開する企業にとって、いまやITセキュリティのリスクの高まりはビジネスの拡大と表裏一体をなしています。ひとたび大きなセキュリティインシデントが発生すれば、自社に致命的な損害を与える可能性も大いにありえます。
こうした局面にあって、経営者はどのようにセキュリティに向き合っていくべきなのか。多くの外資系企業でコンサルティングおよびセキュリティ関連サービスに従事し、世界の最新動向に精通する日本TCSの三好 一久が、シリーズで解説します。
第1回:不確実性の中で問われる真の戦略性、トレンド頼みの限界
ハイライト
- 相次ぐセキュリティインシデントを目の当たりにし、企業はセキュリティへの自信を失っている。自信を持つためには自社セキュリティのKSFを考えなければならない。
- KSFを考え、セキュリティを成功に導くには、攻撃側と守る側、経営層と現場担当、売り手と買い手という3つのギャップを埋める必要がある。
- セキュリティ導入のためのロードマップには、自社にとって何が正しいか、どこを目指すべきなのかが反映されていなければならない。
IN THIS ARTICLE
企業は今セキュリティに自信を失っている
2024年は、年末にかけて航空会社やメガバンクなどでセキュリティのインシデントが相次いだ。内容としては侵入や情報漏洩などでなく、サービス妨害(DoS)攻撃だった。インシデントに慣れた立場で個別に見ると、いわゆるよくある被害として、“またか”と片付けてしまうこともできるし、報道などでも各論しか述べられていない。しかし、地政学的にもこれほど不安定な情勢の中、止まってしまうと困る重要サービスに対する年末の一斉攻撃は、まるで有事に向けて日本の国力とその反応をテストしているようにしか私には映らなかった。そもそも個人や私的な組織による愉快犯として楽観的に片付けるには、DDoS攻撃※はあまりにも攻撃側としてもコストの割にリターンが少ない。まして昨今の大手企業であればCDN※やWAF※などでそれなりに対策は取っているのだ。そんな日本の重要インフラを相手に、広範囲に特定のタイミングでサービスを停止させ混乱に陥れよう、ひいては防御側の関心を集中させリソースを逼迫させようというのは、それが必要であるための明確な目的と強い意図を感じずにはいられない。
※DDoS攻撃(Distributed Denial of Service(分散型サービス拒否) 攻撃):分散する多数のPCやIoTデバイスから同時にアクセスすることで、Webサイトやサーバーへ負荷をかけてサービス提供を妨げる攻撃のこと。
※CDN(Contents Delivery Network):複数拠点に分散配置されたサーバーを利用して、よりユーザーに近い場所からコンテンツを迅速かつ効率的に配信するネットワークシステムのこと。DDoS攻撃によるアクセス集中を分散させる効果も期待できる。
※WAF(Web Application Firewall):Webアプリケーションに対する不正な通信を検知し、攻撃から保護するための仕組み。
その辺りの攻撃の性質や事情の違いを知らない一般市民からしてみれば、国内有数の企業のサービスが停止するというのは、ただただ不安に映る出来事であり、一方的に困る事案である。私自身、年末海外に行く予定があったため「飛行機ちゃんと飛ぶかな…」と思ったし、ニュースを見る身近な人たちからも「これって大丈夫なの?」というコメントをいくつかもらった。それに対し「あんまり大丈夫じゃないね」と私は答えたが、言いながら、それはどちらかというと私一個人や被害を受けた一企業の立場ではない。大丈夫でないのは、地政学的な意味合いにおいてであり、また国の重要インフラが一斉に混乱に追い込まれたという事実である。これはとても残念であると同時に、心の中で「いよいよ試されているなぁ」という強い警戒感を抱かざるを得なかった。
このような状況の中、私は本コラムの第一回目において、セキュリティ市場では対策の方向性が見えづらくなっているということを述べた。それは同時に、守る側としてもよりどころとなるトレンドや指針を失うことを意味しており、インシデントも激増する中、皆が自信を失ってきていると考えている。特に経営者にとって事業に対する自信というのはあらゆる判断を行う上で極めて重要であるが、その基盤となるセキュリティへの自信が損なわれている。現場の担当レベルにおいても、自信を持って「わが社は大丈夫です」と言い切れる人は少ない。これではあらゆるビジネスを進める上で、不確実性が高まってしまうし、判断に支障が出てしまう。果たしてそれはセキュリティ市場の状況や報道のせいだけなのか?そして自信を取り戻すためにはどうすれば良いのか?
経営者が自信を取り戻すためには?
自社に自信を持つためにはその根拠となり得るものが必要であるが、十分な根拠を得るためには“確固たる合理性”や“客観的なデータ”がなければならない。また、データを得るためには、目標を立て測定を行い、達成や改善をしていく必要があるが、そのためにビジネスではしばしば、KPIが利用される。さて、貴社では経営指標として、セキュリティのKPIを設定しているだろうか?最近各所で、セキュリティのKPIをセットしようという記事やコメントを見かける機会が多くなったが、私の感覚では多くの大手企業がいまだに明確なKPIを設定していない。それは言い換えてみると、セキュリティの分野では、これまで目標設定や測定を行う習慣がなかった、そしてそれがいまだに続いていることを意味する。経営指標としてのKPI(数値)というのは売り上げ、コスト、採用、離職率、品質などあらゆる面において、ビジネスでは当たり前である。にもかかわらず、それがセキュリティではなぜか語られてきていないのだ。“合理性”については仮にも定性的な方向性を与えてくれていた市場に倣いツールを導入したり、SOC※を導入したりしてきたものの、そのトレンドも今や頼りない。そこにきてデータすらない、という状況では経営者が自信を持てなくて当然である。
※SOC(Security Operation Center):ネットワークやデバイスを集中的に監視し、不正なアクセスや攻撃を検出、分析する組織。
さて、セキュリティの取り組みや達成を定量的にとらえるためにもKPIが重要である、ということについては最近少しずつ市場にもトレンドの芽ができつつある。これはとてもよい流れであるが、ここでもう少し本質的な問いを投げかけたい。KPIを設定するにしても、「そもそもどのような状況であればセキュリティの取り組みが成功していると言えるのか?」これはとても簡単な質問に見えて、すんなり答えられる経営者などほぼいない、極めて難しい問いである。貴社にとって、客観的な説明材料としてこの答えは用意できているだろうか? KPIも非常に重要であるが、より本質的な概念としてのKey Success Factor、何を押さえていればセキュリティは成功なのであろうか?
セキュリティを難しくさせる3つのギャップ
大枠に悩む経営者、そして具体的な対策を考えるセキュリティ担当者にもぜひ一度本気で考えてもらいたい。セキュリティのKey Success Factor(以下KSF)とは何なのか。それを考える上で、最近私が経営層向けの勉強会などで強調している点として「セキュリティを難しくさせるギャップ」というものがある。すなわち以下の3つである。
- 攻撃する側と守る側のギャップ
- 経営層と現場担当のギャップ
- 売り手と買い手のギャップ
置かれている条件や利害関係が大きく異なる各者の間には、セキュリティを考える上での目標や期待についても大きなギャップが存在する。私はこれらのギャップを埋めることがセキュリティの成功に向け、KSFを考える上で非常に重要であると考えている。一つ一つ見ていこう。
攻撃する側と守る側のギャップ
題目は異なるものの既に本コラム第二回目の『”努力している感”のワナ』で述べているため見ていただきたい。防御側には努力しているが故の強いバイアスがある一方で、攻撃側にとっては「そんなの知ったこっちゃない。入れるところから入るしかない」という双方の大きなギャップである。これは相手がいる世界において実効性を担保する上で確実に乗り越えなければならないものである。
経営層と現場担当のギャップ
昨今インシデントがひたすら増加する中、従来サイバーセキュリティに関心のなかった経営者の意識も軒並み向上し、さすがに今やセキュリティを軽視する経営者も減っている。とはいえ、経営トップから見てセキュリティは守備範囲が広く見えづらい一方で、現場の小さな不備が巨大な損失につながる。だが、技術的な専門性が高く、よほど知見がないとインシデントが起きても何が問題なのか分からない。ベンダーやコンサルタントに頼っても、それぞれ意見も異なり本質が見えづらい。一方、現場担当はというと、セキュリティはITの中でも特に戦術や専門性が要求される分野であり、やりがいを持っている人が多い。インシデントが起きると現場がつらくなるのも目に見えているため、皆けなげに真面目に従事している。ただし、キャッチしなければならない情報や技術の進歩が極めて速く、相当にコミットしないとついていけない。世のベストプラクティスを満たそうとすると人手が圧倒的に足りず、予算やリソースも自由にならない。このように、双方において関心や意気込みは十分なものの、置かれている状況や関心、視点があまりにも異なる上、持っている経験や知識の領域も大きく異なる。このような条件の中、双方の目標や期待を合わせていくのはとても困難で、せめて共通言語となるベースが欲しいところだが、その役割を果たすべきKPIがない。これでは当然会話も成り立ちようがない。
売り手と買い手のギャップ
これは上の二つと比較するとそれほど本質への影響度は大きくないと考えているが、意識を向ける必要がある。売り手となる製品ベンダーやコンサルティングファームはそれぞれ自社ビジネスの都合があるため、彼らの思惑というものは、買い手のニーズと必ずしもマッチしない。これを入れればすべて安心、という製品はなく、各ソリューションが提供する価値は極めて断片的であると言わざるを得ない。特にこれまで私が過去3回のコラムで述べてきた、想定しなければならない本質的な事柄、すなわち“何を最も守らなければならないのか?”や“自社にとって最悪の事態は何か?”といった戦略上のニーズや課題に対するギャップは大きい。製品が次々と生まれ、数多く乱立している状況で受け身になってしまっては、戦略上の過不足も生じやすい上に、方向性も見失いがちである。ベンダーやコンサルタントの話を鵜呑みにせず、自社が戦略上必要とする対策エリアのマップを常に手元に置きながら、「売り手が推してくるソリューションがそのどこに当てはまるのか」「それをどのような優先順位で導入するのか」を、客観的に説明できなければならない。
赤信号、みんなで渡れば怖くない?
上記のような深いギャップが各者にある中、自社にとって何が正しいか、どこを目指すべきなのか、KSFを突き詰めるのはとても難しい。そしてこのような困難な課題があると、日本企業の多くの経営者は、すぐに他社事例が欲しいと言ってくる。なぜかはさておき、国民性なのかどうしても他社が気になって仕方がない。しかし改めて考えてほしい。他社は正しいのか? ではなぜ、世の中で深刻なインシデントがやまないのか? そう、他社も含めて皆できていないから次々と被害が増えていくのである。このような状況で他社事例を求めるのは“赤信号、みんなで渡れば怖くない”という思考停止に陥っているようなものである。現状のセキュリティ市場は正しい方向性を示していないし、他社と同じことをやっても救われない。そのことを強く認識しつつ、どうやれば「自分たちは大丈夫だ」と、経営者が自信を持って言えるのか。それを考えなければならない。
間違いだらけのロードマップ
KSFに関連して一つ論点に追加しておきたいのが、重要施策を導入していくためのロードマップである。多くの企業が取り組みの計画としてセキュリティのロードマップを持っている。私の経験上では、それらは一見とてもよく考えられ、戦略的なように見えるが、ほぼ確実に間違っている。一体どのように間違っているのか? それを端的に伝えるために、少々意地悪であるが、しばしば私は顧客に対し以下のように指摘している。
「このロードマップの右肩にある貴社ロゴを競合A社のロゴに入れ替えると、そのまま当てはまるように見えませんか?」
ロゴを変えたらそのまま他社にも当てはまるようなロードマップは失敗である。貴社のロードマップはどうだろうか? 相手(敵)がいる生存戦略において、やられ続けている周辺他社と似たり寄ったりの計画を描くのは、果たして戦略的と言えるのか? なぜこのようなロードマップになってしまうのか。それは、ロードマップに記載された取り組みのほとんどが、フレームワークに書かれている要求事項をただ時系列に並べたようなTo Doの羅列になっているからである。ロードマップに載っている個々の取り組み自体は間違ってはいないのだが、どの企業も自社にとってのKSFやKPIがないが故に、似たり寄ったりになっている。そこには攻撃者の視点も全く反映されておらず、経営の意志として何を最優先に守りたいのかも読み取れない。現場がそのような計画を立てても、経営トップとしてはそれを見て何の判断ができるのか。予算との兼ね合いで「金額を減らせ」「後回しにしろ」くらいしかコメントできないだろう。KSFやKPIの設定は経営の意志である。それなしに経営戦略的に正しい(経営判断につながる)ロードマップが作れるわけがない。
やはりセキュリティは経営マター
最後に、多くの国内企業において現状セキュリティのKSFやKPIがないというのは、裏を返せば経営者にとってこれまでそれが経営マターではなかったからだ。あえてキツイ言い方をするならばそれは怠慢以外の何物でもないのだろう。ただ、少しだけ擁護するならば、KSFやKPIを考えるにしても、セキュリティにおいて「十分性の議論」は特に難しいのだ。セキュリティの成功は究極的には「インシデントが発生しないこと」であるが、それは悪魔の証明と似ており「将来にわたってインシデントが発生しないこと」を証明することにほかならず、事実上不可能である。このような課題にあえて切り込み、整理するにはそれなりにエネルギーを要する。しかしそれを経ずに物事を進めてしまうと、現場としてもどこまでやれば良いか先行きが見えず、真面目であればあるほどいずれ必ず疲弊してしまう。ここにきてセキュリティのKPIが急激に求められだしているのは、それだけセキュリティが経営者にとって真剣に取り組まなければならない分野となってきた証拠だと感じている。難しい課題であるが、経営者や担当者が自信を取り戻す上でも価値のある取り組みであることは間違いないだろう。また、この分野について当社ではさまざまなノウハウを持っているため、支援についてはぜひお声がけいただきたい。
三好 一久(みよし かずひさ)
イリノイ大学アーバナシャンペーン校卒。サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積み、KPMG、デロイトにて上流コンサルティングを経験。その後、マカフィーにてコンサルティング部隊の立ち上げ、CISO(Chief Information Security Officer)を務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年10月、日本TCSに入社し、CISOを務めながら、サイバーセキュリティ部門を率いている。
関連情報
お問合せ
お問合せ