Oct 10, 2021

ガバナンスの実現に求められる「共通の物差し」

By タニウム合同会社, Chief IT Architect CISSP、CISA, 楢原 盛史

前回のブログにて、多くの組織が「裸の王様」状態である、と解説させていただきました。今回はこの「裸の王様」状態から脱却し、経営サイドの責務となる業務の可用性を維持し、安全宣言、説明責任を果たす上で求められるガバナンスの実現方法について、「共通の物差し」の重要性について解説させていただきます。

筆者も日々、大規模組織のお客様とさまざまな会話をさせていただいておりますが、どの打ち合わせでもほぼ例外なく出てくる言葉が「ガバナンスの実現」という言葉です。昨今のセキュリティ事案を鑑みますと、犯罪組織はセキュリティレベルが一般的に高い本社(HQ)を狙うことは、効率的によくないので、ネットワークが相互接続している(だろう)グループ会社やサプライチェーンに狙いを定めて攻撃を仕掛けてくるのが一般化してきております。そのため、「ガバナンスを実現する」と題目を掲げた瞬間に、最低でも資本関係がある全ての国内外グループはもとより、ネットワークが相互接続するサプライチェーンまで視野を広げたガバナンスが否応なしに求められます。アーキテクチャ的にはOA/OT/IoTが混在し、さらに違う視点では、物理環境、仮想環境、コンテナ、サーバレス、さらにはオンプレミス、クラウド、リモート(ゼロトラスト)とガバナンスの範囲は複雑怪奇、極まりない状態です。弊社ではこのような環境を一言で「マルチドメイン環境」と要約しております。

さて、ガバナンスの実現においては、このマルチドメインをスコープにいれたカバレッジ(適用範囲)が求められ、さらにはセキュリティ要求機能として、多くの大規模組織が、グローバルサプライチェーンの中でビジネスを推進する上で積極的に参照を開始したNIST サイバーセキュリティフレームワーク(NIST CSF)や、CIS Controls v8などへのアラインが求められます。

これらの「アライン(準拠や参照)」の際に重要なのが「KPI」となります。ガバナンスの実現において、上述のようなベストプラクティスやフレームワークにアラインしつつ、組織が掲げるセキュリティポリシー(設定や運用ルール等)をHQによって可視化と制御(コントロール)が求められるわけですが、「やっている」でのではなく「実現出来ている」を評価するグローバル「共通の物差し」が「KPI」となります。しかしセキュリティの世界においてこの「KPI」の沿った運用において、既存のアーキテクチャや体制、プロセス、すなわち「人、物、プロセス」が足枷となって定めた「KPI」の可視化と制御をHQが実現するのが非常に難しい、という新たな壁にぶつかります。この難しいとされるサイバー(情報)セキュリティKPIの対応について、既に先進的グローバル組織は運用フェーズに入ってきております。次回はこのKPIの設定例や、運用事例について、最新動向を解説させていただきます。


ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。