今、CIOが考えるべきサイバーセキュリティ対策の視点とは?
2018年3月5日(月)西野 弘(特定非営利活動法人CeFIL 理事/DBIC 共同設立者)
前回までの2回のコラムでは、日本のサイバーセキュリティ対策が抱える本質的な課題についていくつかの指摘と提言をさせて頂きました。それに続き、企業においてサイバーセキュリティ対策を担うCIOやCSOが持つ課題について2回程度で考えてみたいと思います。
サイバーセキュリティ対策について、CIOからよく聞く嘆き節に次のようなものがあります。
- 当社はサイバーセキュリティ対策にどの程度のレベルでどれくらいの人とお金を投じるべきなのか? CSIRTの設置など予算は増すばかりで、ほかの業務に影響を及ぼしている。
- 経営層はITやサイバーセキュリティにあまり理解がなく、未だにコストとしか捉えていない。無理解と責任の押し付けが多い。
- 何が狙われているのか、何が盗られているのか? 実はよく分からない。
- サイバーセキュリティ対策ソフトなどをすでに相当数導入済み。しかし防御に効いているのか、今後も必要なのか、分からない。
読者の皆さんはいかがでしょう? 実はセキュリティ専門ベンダー企業やコンサルティング会社も、これらに対する明確な回答を持ち合わせていませんから、CIOが嘆くのも当然です。この現象は、全体のサイバーセキュリティ対策のマネジメントがなされていないため、自身の体が見えなくなっている状態と言えるでしょう。
筆者にはプロジェクトマネジメントの知識体系「PMBOK」やITサービスマネジメントの「ITIL」を日本に導入し、普及を推進した経験があります。残念ながら日本のPMやITサービスマネジメントのレベルは、グローバルに比して決して高いとは言えません。例えば、PMI(米国プロジェクトマネジメント協会)にはPMに関わる組織成熟度を測るOPM3というフレームがあります。
しかし日本ではこの成熟度モデルで自らのレベルを正確に把握してる企業はまだ少ないのが実情です。PMと言えば個別のプロジェクトのマネジメントが中心。経営側が組織的な成熟度を把握し、継続的に高めていく努力が不足しているのです。下の図はOPM3の5段階のレベルを記したものですが、日本企業はレベル3辺りに留まっている組織が多いと推察します。
ITサービスマネジメントも同じ。10年以上前の2004年頃から日本に本格的に導入されましたが、資産マネジメント一つをとっても、高いレベルにあるとは言い難い状況です。資産マネジメントレベルの低さがサイバー攻撃に対する脆弱性の高さに繋がることは、言うまでもありません。PMやITサービスマネジメントの話を持ち出したのは、発注側も受注側もITの現場におけるマネジメントレベルが高いとは言えない中、ツールやソフトを導入しただけでサイバーセキュリティ対策のレベルが上がるはずもないことをお伝えしたかったからです。
CSIRTの実力は如何に!?
日本においても危機管理チームの設置がこの数年で急速に進みました。ここではサイバーセキュリティ対策の代表的なものとして「CSIRT(シーサート)」について考えてみます。日本CSIRT協議会によると、以下のような定義がなされています。
会員登録(無料)が必要です