「彼を知り己を知れば百戦殆うからず」。有名な孫子の言葉に沿って、経営目線でサイバーセキュリティの取組みを検討する際に大切となる最初の一歩目を解説します。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください
背景
前回の記事では、企業目線さらにはその先の社会目線で、サイバーセキュリティがなぜ重要な経営課題であるかを、想定される被害・影響を踏まえて解説しました。
今回は、重要な経営課題という前提の下、企業経営≒経営者として、まずは何から取り組むべきか、その最初の一歩について解説したいと思います。
さて、この最初の一歩ですが、多くの企業が既にサイバーセキュリティの対策に取り組んでおり、今更と考える方も多いのではないでしょうか。ただし、今一度、その一歩目を再認識いただきます。なぜなら、サイバーセキュリティは、内外の環境変化に応じて、様々な局面での「見直し⇒再構築」が必要になります。こうした機会に、改めて第一歩を踏み出し直すという意味で、以降で解説するテーマは非常に重要です。それでは、その第一歩とは何でしょうか。まずは、以下の言葉を念頭に置き、本記事をご覧ください。
彼を知り己を知れば百戦殆うからず
(孫子 兵法 謀攻篇)
誤解しがちな「第一歩」
サイバーセキュリティの強化は、あらゆる企業が取り組むべきテーマです。サイバー攻撃を始めとする様々な脅威に対抗するため、管理体制及びルールを整備して、必要となる対策ツールやインフラ基盤を導入することは、重要な活動と言えるでしょう。
では、上記の活動における、「最初の一歩」とは何でしょうか。管理体制の整備、それとも、ルールの整備でしょうか。結論は、そのどちらでもありません。最も重要な第一歩は、更にその手前にあります。それを上述の孫氏の言葉に沿って解説していきます。
彼を知り己を知れば百戦殆うからず
まずは、この言葉の解釈を見てみましょう。大まかには、以下の通りです。
敵についても味方についても、情勢をしっかりと把握していれば、
幾度となる戦いに敗れることはない
ここで重要なキーワードは、「敵⇒彼」「味方⇒己」「幾度となる戦い⇒百戦」の3つです。これらを、サイバーセキュリティに置き換えるとどうなるか、1つ1つ見てみましょう。
まずは、「味方⇒己」ですが、「自社」が該当します。もう少し、サイバーセキュリティ目線で踏み込むと、自社の管理態勢、具体的には体制、ルール、プロセス、インフラがどのような状態≒管理レベル(リスク視点で見た)にあるかとなります。
次に「敵⇒彼」ですが、ここでは2つの解釈があります。共通するのは「社外目線」ですが、1つは「攻撃者」です。そして、もう1つは「遵守事項」であり、サイバーセキュリティに関わる法令・規格等で求められる管理要件を指します。
そして、最後に「幾度となる戦い⇒百戦」ですが、これは日々の管理そのものです。サイバーセキュリティに関する活動は、その内容に応じて、予防・発見・対処・復旧と様々な局面がありますが、これら全体を通じた各施策への対応を指すと解釈します。
以上をまとめると、孫氏の言葉の全体的な解釈は、以下の通りです。
サイバー攻撃の動向及び関連する法令・規格で求められる管理要件を
タイムリーに把握すると共に、自社の管理態勢の状況を正しく理解した上で、
様々な施策を実現していく
それによって、インシデントの予防・発見・対処・復旧という一連の活動が的確に進み、高いリスク低減効果が期待されることになります。
さて、ここまでの状況を踏まえて、こう思われた方も多いのではないでしょうか。
「もちろん、それは既に実施している(当たり前だろう)」
上記の説明を読んで、腹落ちするという方は多いでしょう。ただし、実は盲点が存在し、適切な施策推進が進んでいない、というケースは往々にしてあります。本当に「彼」「己」を適切に把握できているでしょうか。以降では、蓋を開けてみると正しく把握できていないケースを解説しますが、読者皆様の自社の状況に当てはめて、ご覧になってください。
「彼」を把握できていないケース
前述の通り、「彼」とは、攻撃者及び社外から要求される遵守事項となりますが、これらの把握が不十分のまま検討が進むケースを紹介します。
ケース1:攻撃者の目線が欠けているケース
最も多いのが、攻撃者の立ち位置への理解不足です。ここで1つの問いをします。
「攻撃者と守る側の企業では、どちらが優位な立場にあるか」
この問いへの正しい理解が、サイバー攻撃と向き合う際に最も重要です。図1をご覧ください。見てお分かりの通り、攻撃者は企業に対して、圧倒的に優位な立場にあります。
図1:攻撃者の優位性の考察
出所:グロービング株式会社 作成資料
このような状況の中、実際のリアルな攻撃を想定し、重大な欠点が存在するかどうかを事前に検証することは重要なテーマです。企業として、「どのように守るか」は大事な論点です。ただし、そもそも「どのような攻撃を受けるか」も同様に重要です。どんなに強固な守りを整備しても、それが攻撃を踏まえたものでない限り、お門違いになる可能性があります。図2の通り、従来のサイバー攻撃と比べると、昨今のサイバー攻撃はより組織的かつ周到に戦術を練ったものが増えており、いかにそれを見通すかは大事なポイントになってきます。
図2:サイバー攻撃の実行者の類型
※1 環境保護、動物愛護、言論の自由、ボイコット等の各種抗議の呼びかけが例として挙げられる
※2 身代金の用途として、テロリストや犯罪組織の“軍事的”な資金源に活用される危険性も高い
出所:グロービング株式会社 作成資料
こうした攻防の具体例、さらには、リアルな攻防を事前に体験するためのレッドチームオペレーションというテスト手法やバグバウンティ(報奨金制度)は、今後のブログで解説をしていきたいと思います。ただし、今時点では、こうした目線でサイバー対策を進める企業はまだ少ない状況であるということを、一先ず認識してください。一部の先進的な企業を除くと、全体としては、まだまだ浸透していないという状況です。
ケース2:社外からの要求事項の目線が欠けているケース
そもそも、要求事項に対応しきれていない、というケースが散見されます。これは想像しやすいとは思います。ただし、その反対に過剰に対応してしまうケースも多く見られます。
コンサルティングの現場では、セキュリティに関する法令・規格、さらには有効なガイドラインや解説書等のリファレンスを紹介してほしい、という相談を受ける機会が多いです。こうした過程で散見されるのは、参照するリファレンスの本質的な理解が不十分のため、対策検討が間違った、または、過度な方向に進んでしまうというシーンです。
例えば、米国にはNIST SP800-171(以下「171」という)という規格が存在します。これは、米国政府やその関連機関の調達に際して、製品・サービス、技術等を開発・提供する企業に義務付けられるセキュリティ要件の遵守事項を定めたものです。この規格では、サイバー攻撃への対応で必要となる要件を体系的にまとめています。そのため、米国政府の調達への関与に関わらず、多くの企業がルール及び対策の強化の際に参考として活用しています。ただし、蓋を開けてみると、以下のような相談を度々受けます。
「171の要件は厳しすぎる。本当にここまでの対策をやる必要があるのか」
ここで大事な論点は、171が何のために整備された規格であるか、です。そもそも171は「米国政府の重要調達に関わる遵守事項」です。政府の重要機密を取り扱う研究活動等を推進する施設と、一般従業員が日常作業を行う執務スペースでは求められる機密レベルは雲泥の差です。つまり、その規格は誰が、何のために、という背景を理解した上で参照しないと、身の丈に合わない過剰なセキュリティ管理に陥ってしまいます。
「己」を把握できていないケース
前述した通り、「己」とは、文字通りの自社です。自社のセキュリティ管理水準の実態を正確に理解することは重要です。ただし、ここで重要なのは、さらにその一歩手前にある、セキュリティリスクに影響しうる、自社の特性です。
近年、様々なリファレンスが登場したことで、セキュリティ管理の問題点や成熟度合いを評価することは容易になりつつなります。ただし、だからこそ陥っている状況が、その手前にある真の己を理解しきれていない、という実態です。それは、セキュリティリスクの度合いに影響し得る特性への理解が曖昧になっているということです。では、その特性とは、なんでしょうか。それは、「守るべき情報資産の特性」ですが、大別すると以下の通りです。
- 情報資産の種別
- ビジネス上の利用目的
- 保管場所(地域、拠点、媒体等)
上記を見ると、当たり前のように見えるかもしれません。ただし、実際の実務においては、これが不明瞭のまま対策検討が進むケースは少なくありません。その場合、検討に際してどのような弊害が考えられるでしょうか。いくつかの事例を紹介しましょう。
ケース1:情報資産の種別が不明瞭
自社の競争優位性やレピュテーションに影響を与えうる情報資産が把握し切れていないケースです。大別すると営業秘密とヒトに関わる情報が該当しますが、当たり前のように見えて、見落としがちなケースが散見されます。
例えば、営業秘密は、昨今のコネクテッド化の進展に伴う、業務提携・買収・JV設立等、ビジネススキームの広がりにも関わらず、知らずの内に足下の情報を見落とすケースが往々にしてあります。仮に各部門単位で把握していたとしても、全社統括視点で認識が行き届いていない限り、戦略や方針レベルでリスクの大きな見落としにつながる危険を孕みます。
ケース2:ビジネス上の利用目的が不明瞭
このケースは、特に個人情報やパーソナルデータが該当します。こうした情報は、各地域や国が定める法令で、利用目的の同意(オプトイン/オプトアウト)が必要となります。そして、図3の通り、法令の種類は多岐に渡ります。もし、「ビジネスで役に立ちそうだからとりあえず使ってみよう」という安易かつ場当たり的な発想で臨んだ場合、法令違反によるレピュテーション低下を招きかねません。逆に、ビジネスでの利用は限定されているにも拘らず、誤った判断で過剰な利用目的を掲げてしまうこともあります。これは、無駄に法令対応のパワーを割いてしまうため、非効率です。
図3:様々な地域・国における個人データの保護に関する規制
※弊社によるインターネット検索の調査結果に基づく(2024年2月時点)
出所:グロービング株式会社 作成資料
ケース3:保有場所(地域、拠点、部門)が不明瞭
昨今、グローバル化が進展する中、このケースが該当した場合に考えられるリスクはなんでしょう。それは、危険なロケーションの見落としです。どこにどのような情報が存在するか、物理的な地域、さらには論理的なシステム環境がどうなっているかを把握できていない場合、対策の重大な漏れや欠落につながりかねません。そして、本来は共通的な基盤整備による投資効率化が可能な所、個別の対応が進み、冗長化してしまうという経営上のムダにもつながりかねません。
百戦に臨むに際して
以上、「彼」「己」について解説してきましたが、この2つを正しく知ることで、百戦において、幾度戦っても負けることがない状態が期待できます。ここでの「負けることがない」とは、サイバー攻撃を始めとする各種インシデントが発生しない、という意味ではありません。インシデントを完全に無くすことは不可能に近い中、可能な限りそのリスクが低減される、そして、仮にインシデントが発生したとしても、経営に与えるインパクトを最小化及び局所化できる、という意味です。
サイバーセキュリティを取り巻く動向はドラスティックに変化しています。継続的かつ安定的にそのリスクを低減するためには、「彼」「己」を知ることが何よりも重要です。様々なレギュレーション、さらにはセキュリティ製品が日々登場する状況は、まさに「百戦」さながらです。こうした状況下で、相手に与えられる情報にリアクティブに依存するのでなく、自ら咀嚼してその意義を突き詰める、それこそがサイバーセキュリティにおける「審美眼」であり、これを身に着けることで、本当に必要なものが見えてくるはずです。
以上、今回の記事のまとめとして、図4で取組みのアプローチを紹介します。
図4:「彼」「己」「百戦」を踏まえたアプローチの紹介
出所:グロービング株式会社 作成資料
今後も「審美眼」にこだわった連載を進めていきますが、今回の記事がセキュリティ対策の大事な一歩として、今一度、読者の皆様にとって“気づき”になれば幸いです。
執筆者
高橋 宏之
ディレクター
セキュリティに関わる中期計画策定、ガバナンス構築、法令対応、規定類整備、リスク評価・監査等、より全社目線での上位アジェンダを多数経験(システム開発の経験も保有し、アプリケーション/インフラ設計、プログラミング等、IT技術面にも習熟)
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください