巧妙化するサイバー攻撃、社員や外部委託者による情報漏えいなど、情報セキュリティを取り巻く環境は厳しさを増すばかりだ。同時に、セキュリティ関連ツールの導入だけでは不十分であり、経営トップから現場のスタッフまでがセキュリティリテラシーを高め、全社で取り組むことが重要だとの認識も高まりつつある。そうした中、現在の組織対応力がどれだけ高いのか、どうやれば高められるのかを自己診断できるチェックシートがオープンガバメント・コンソーシアム(OGC)から公開された。
そうした企業の不安に答える形で、組織対応力を自身で確認するためのチェックリストが公開された。オープンなクラウドや標準の普及促進に取り組むオープンガバメント・コンソーシアム(OGC)が2015年7月1日に発表した『組織対応力ベンチマーク』のチェックシートだ(発表資料)。須藤教授はOGCの会長でもある。
組織対応力ベンチマークのチェックシートでは、(1)文書類の整備状況、(2)インシデント対応チームの構成、(3)インシデント対応の準備、(4)予防、(5)検知と分析、(6)封じ込め・根絶・復旧および事後活動対処と事後の6分野について全25問に5段階評価で答える(図1)。集計結果をレーダーチャートに表示することで、組織力のレベル感やカバー範囲の偏りなどが把握できる。
拡大画像表示
より詳細にチェックするための122問からなる詳細版に加え、設問項目を理解するための参考文献となる「解説書」も用意する。ベースになっているのは、米国立標準技術研究所(NIST)が定めるセキュリティインシデント対応ガイドライン「NIST SP800-61」(IPAが作成した同文書の日本語版)だ。そこから日本企業が取るべき部分を重点的に取り出した。
OGCが組織対応力ベンチマークを作成するきっかけは、ほとんどの企業が課題に挙げているセキュリティ人材の不足である。解消策として個人スキルの認証などを検討し始めたが、「個人よりも組織力が重要。であればCSIRTの普及をうながすツールが必要と判断した」(辻主査)。当時、OGCメンバーであるトレンドマイクロが実施した調査では、CSIRT設置済みの企業が10%にも満たなかったことも背景にある。
本ガイドラインを作成したOGCのCSIRT普及ワーキンググループの辻秀典主査は、「企業のCIOやマネジメント層、インシデント対応の責任者などがセルフチェックすることで、経営層に対し現状に基づくアピールや判断材料として利用してほしい」とする。
特に、中堅中小企業など、セキュリティの専門家がいない組織による利用も想定した。IT関連業務を外部委託するにしても、「CSIRTは必要。そのうえで、どこまでを外部に委託するかの役割分担や責任分担」を明確にしなければならない」(ワーキンググループの豊田祥一氏)からだ。そのためガイドラインは、「できるだけ平易な表現に努めた。CSIRTの言葉も使っていない」(同)という。
企業のIT 環境は今後、モバイル利用を含め、ますますネットワークが前提になる。ただスマートフォンやタブレット端末はPCに比べセキュリティ強度が低いのも事実。業務スピードを高めることと、セキュリティを確保することの両立は大きな課題になる。そこにどう取り組むかの方針を定める意味でも、OGCのベンチマークを使ったセルフチェックは有効だろう。チェックシートと解説書のいずれもが、OGCのWebサイトから無料でダウンロードできる。