最先端の情報セキュリティ 

 
Download Article

用語に関する注意

残念ながら、情報セキュリティの用語は曖昧な場合が多いため、情報セキュリティのリーダーは常に用語を明確にすることを求めなければなりません。たとえば、「セキュリティの成熟度」や「セキュリティの能力」は互いに関係のある多様な考えを示すために使用されます。COBIT では、能力と成熟度をプロセスの品質の基準として定義していますが、これらの用語にはセキュリティ業界で広く受け入れられている定義がありません。情報セキュリティのリーダーは、すべての考えと用語を使用する前に十分に定義し、明確にすることを主張しなければなりません。

オーロラ攻撃が2010年初頭に登場して以来1、情報セキュリティ、正確には、サイバーセキュリティ(サイバースペースの脅威からの情報資産の保護)は多くの組織で最優先課題になっています。一般的に、上級管理者はその重要性を理解し、広く受け入れられている対策に「率先して」従っています2, 3。しかし、さまざまな部署に分かれ、世界規模で事業を展開し、管理者の多い大規模組織では、そのような姿勢も一貫性に欠け、組織を挙げてサイバーセキュリティの強化に取り組むことができません。情報セキュリティにはリーダーシップが必要です。

この記事では、情報セキュリティのリーダーがセキュリティのギャップや盲点に対応した持続可能な情報セキュリティのプログラムを構築するための枠組みを紹介します。その枠組みの構成は以下のとおりです。

  • 情報セキュリティのリーダーが理解しなければならない情報セキュリティの次元の特定
  • 情報セキュリティのリーダーが重視しなければならないる5つの意思決定の提示
  • 情報セキュリティのリーダーが認識しなければならない3つの誤りの解説
  • 一貫性のないまま使用されている用語の背景にある考え方の明確化

この文書の目的は、すでに多くの文書で説明されている4, 5, 6, 7枠組みを詳細に定義することではなく、上級管理者がより直接的かつ明確な方法で組織の情報セキュリティを構築するための実用的な全体図を提供することにあります。

情報セキュリティの次元

情報セキュリティを確立することは簡単なことではあ りません。システム資産として、以下の3つの次元に 沿った注意が必要です(図1)。

図1

  1. セキュリティ統制のメカニズムには手順、構造、行動様式、ポリシーが含まれ、組織が脅威の緩和と規制要件への対応を適切に保証するために導入します。
  2. 組織の構造は部門、地域、管理者の各層とプロセスで構成され、それによって組織が業務を遂行する方法が決まります。
  3. 技術にはさまざまな種類(無線、BYOD(個人保有のデバイスを業務で使用)、クラウドなど)があり、ベンダーも異なれば世代やバージョンも異なります。

これらを適切に管理できないと、セキュリティインシデントのリスクは上昇します。また、主要なセキュリティ統制がなされないと、リスクは増大します。セキュリティ統制は体系的に組織全体に導入されなければ、重要な情報資産を保護できません。セキュリティ統制が重要な技術のすべて(無線、BYOD、クラウド、Wintel、メインフレーム)に対応していないと、これらの技術で処理する情報資産はリスクにさらされ、脆弱になります。このような問題を回避して、セキュリティ統制を技術、部門、地域、管理者のすべての層とプロセスに導入することを監督することは、情報セキュリティのリーダーの重要な業務です。

図1はポリシーと基準に即したセキュリティ統制を示しています。ポリシーとは、セキュリティの原則と要件に関する高位の包括的な基準のことです。基準とは、ポリシーの改善と運用を可能にするために、特定の活動とプロセスを含めたパフォーマンスとコンプライアンスの規準を詳細に規定したものです。セ キュリティ統制では、活動と活動を実施する個人を定義して基準を導入し、活動を実施する時期と方法を指定します。

図1では脅威も示しています。リスクと脅威は場合によっては同じ意味で使用されますが、その考え方は異なります8, 9, 10。リスクはその可能性と影響によって特徴付けられる有害なイベントです。脅威は故意(悪意など)と過失(偶発故障や不可抗力など)の場合があり、損害の可能性をもたらします。脅威は標的となるシステムが適切に統制され、その脅威に対して脆弱でなければリスクほど大きな問題にはなりません。また、影響のない、あるいは影響の小さい脅威は、それによってもたらされるリスクもわずかです。図1には法規制(クレジットカード業界のセキュリティ基準(PCI DSS)など)も示していますが、これらはセキュリティ統制の推進力でもあります。

セキュリティの意思決定

前のセクションで説明したとおり、情報セキュリティのリーダーの 課題は、情報セキュリティの脅威を理解し、適切な緩和策を特定 し、その緩和策を組織全体とすべての技術に一貫して導入できる ようにすることです。この一連の作業に不足があると、セキュリティ インシデントの発生率が高くなります。より構造化された枠組みを 提供する上で情報セキュリティのリーダーに求められる役割は、以 下のセキュリティの5つの意思決定にまとめることができます。

  1. 必要な環境要因の特定と優先順位付け。これには法規制と脅威が含まれます。その要素の多くは一般的(SOX法の遵守、活動家によるハッキングなど)ですが、業界によっては独自の法規制や脅威があるため、まず脅威を理解してからでないとセキュリティ統制を選択できません。
  2. 主要なセキュリティ統制の決定。組織のリスク選好に関連付けて脅威を評価します。高リスクの脅威に対しては、主要なセキュリティ統制(想定される最大数の脅威を緩和し、適用可能で迂回が困難な統制)を特定します。コストを抑制するには、統制の数を可能な限り減らす必要があります。そのため、多くの脅威を緩和できる統制が適しています。また、セキュリティ統制は巧妙な攻撃を阻止しなければならないため、強制力が必要とされ、迂回が困難でなければなりません。信頼できない送信元からの添付文書を開かないように注意するだけでは、セキュリティ統制としては不十分です。人々は巧みな言葉で誘導される可能性もあり、攻撃者は電子メールに文書を添付しなくても、ユーザーをWebページに誘って統制を侵害できます。
  3. 地域と部署の自主対応の範囲の決定。多くの組織では、グローバル/地域/部署のポリシー、基準およびセキュリティ統制を組み合わせて使用しています。グローバルに適用する範囲、および地域と部署の自主対応の範囲を決定することは、情報セキュリティのリーダーが行う重要なガバナンスの意思決定です。一般的には、セキュリティ統制が重要であればあるほど、関連する基準とポリシーとともに組織全体に適用される傾向があります。さらに、組織全体を一元的に統制することによって実現するセキュリティと規模の利点も考慮します。たとえば、アイデンティティ管理、アクセス管理、セキュリティ運用センターでは、規模の経済の利益を得ることができます。
  4. 組織の定義。情報セキュリティのリーダーは、すべてのセキュリティポリシー、基準および統制の所有者を確認する必要があります。所有者は、セキュリティポリシー、基準および統制の定義、導入、継続的管理に対して説明責任を負います。また、所有者には、ある種の権限を定義しなければなりません。特に、意思決定権はその制限(いつレビューや承認を行う必要があるのか等)とともに定義します。所有権の割り当ては組織の既存の構造や力関係を考慮する必要があるため、注意が必要な作業です。その他の考慮すべき要素には以下が含まれます。
    • 所有者権限を事業部門に割り当てるかITに割り当てるか
    • IT内に割り当てる場合、所有者権限をサポート/スタッフ(IT リスクなど)と運用機能(セキュリティエンジニアリングまたはセキュリティの運用)のどちらに割り当てるか
    • 所有者の勤続年数、所有者としての能力および目的を効果的に推進する能力
    • 組織的な親和性。たとえば、セキュリティの役割をCFO(最高財務責任者)に割り当てても、CFOの影響力、スキル、及び作業に使える時間を考慮すれば適切ではありません。
    • 職務の分離の制約
    • 範囲の網羅性。これは、所有者が割り当てられた範囲全体(全社規模、地域、部署、プロセス、技術または以上の組み合わせ)に対する説明責任を受け入れた場合です。ポリシー、基準または統制の所有者が決まっていない分野がある場合、組織は攻撃に対して脆弱になります。
  5. 予算の設定。情報セキュリティのリーダーは、最終的な意思決定として、情報セキュリティを維持または向上させるために予算を割り当てなければなりません。

情報セキュリティのリーダーは意思決定の細かい作業の大半 をその所属チームに委任し、その間に全体像を把握して、適切な優先順位を決定し、主要な作業の見逃しや詳細の軽視を防止するよう努めなければなりません。

誤りの防止

このセクションでは、情報セキュリティのリーダーが認識すべき3 つの一般的な誤りについて説明します。

  1. 行きすぎ—大規模なインシデントの後、組織によっては「完全な排除」を目指したクラス最高のセキュリティ統制を導入することがあります。このようなアプローチは賞賛に値しますが、組織にとってはあまりにも複雑になったり、コスト面でも負担がかかりすぎるといったリスクを冒すことになり、最終的に失敗に終わることもあります。また、クラス最高の統制に焦点を当てると、コスト効果に優れた基本的な統制を見過ごす傾向があります。そのため、段階的なアプローチを考慮して、セキュリティ統制を実際のリスク、統制のコストと利点、変更に対する組織の対応能力に基づいて、時間をかけて拡張します。
  2. 問題化する前の修正—セキュリティ統制が脆弱化する原因には、パッチを適用していないアプリケーション、未許可のソフトウェアの使用、古いアクセス権などがあります。これらの欠陥を修正するための最初のステップとして、パッチを適用し、未許可のソフトウェアをアンインストールし、不要なアクセス権を無効にすることが適切です。ただし、このステップだけでは、同じ問題の再発を防止できないため不十分です。持続可能なソリューションにするには、セキュリティ統制を導入して根本原因に取り組まなければなりません。そのほかにも、脆弱性管理のプロセス、ソフトウェア資産のインベントリ、体系的なアクセス権の再承認プロセスによって根本原因を軽減し、セキュリティを持続可能な方法で向上させます。
  3. セキュリティの不十分な知識—監査人は手作業による統制では誤りが多いことを知っています。人は必ず誤りを犯します。攻撃者が優秀であれば、誤りを犯す可能性も高くなります。Bruce Schneierは、セキュリティに対する意識を向上させるトレーニングはコスト的な利点の乏しい妥協策にすぎないという議論の中で、同じ結論に達しています11。正社員以外のセキュリティフタッフが多い組織やセキュリティに対する責任を拡大しすぎた組織では、結果的に情報セキュリティが脆弱化するリスクが生じます。言い換えれば、セキュリティ統制は一般的に、専門のスキルを備えた正社員によって、またはツールによって自動的に導入された場合にその機能が最大化されます。

結論

情報セキュリティのリーダーはセキュリティプログラムを実際に導 入したり実行することはありませんが、その優先順位と方向性を決 めなければなりません。情報セキュリティのリーダーのこのような 業務をサポートするため、この記事では重要なセキュリティの次元 と情報セキュリティのリーダーが重視すべき意思決定を紹介し、 回避すべき一般的なリスクについて説明しました。この記事は、以 下の3つの重要な成果の達成を目指しています。

  1. すべての部署、地域、プロセス、技術に重要なセキュリティ統制を体系的に導入して、セキュリティの問題を排除すること。
  2. 情報セキュリティを組織に取り入れ、組織内で浸透させ、持続可能な状態にすること。
  3. 主要な問題と優先順位に焦点を当てて、セキュリティの投資回収を増やし、コストを削減すること。

免責事項

本文書に記載された考えおよび結論は著者のものであり、必ずし も特定の組織または企業の考えを表すわけではありません。

後注

1 『Google Hack Attack Was Ultra Sophisticated, New Details Show』Zetter, Kim、2010年1月14日www.wired.com/threatlevel/2010/01/operation-aurora/
2COBIT 5:A Business Framework for the Governance and Management of Enterprise IT』ISACA、2012年、www.isaca.org/cobit
3Information Security Governance:Guidance for Boards of Directors and Executive Management, 2nd Edition』IT Governance Institute、2006年
4 前掲書参照、ISACA、2012年
5Information Technology—Security Techniques—Information Security Management Systems—Requirements』(ISO/IEC 27001:2005)国際標準化機構(ISO)および国際電気標準会議(IEC)、2005年
6Information Security Governance—Raising the Game』 Davis, Adrian、Information Security Forum、2011年9月
7The 2011 Standard of Good Practice for Information Security』Chaplin, Mark;/Jason Creasey、Information Security Forum、2011年6月
8Information Security Handbook:A Guide for Managers』(SP 80-100)Bowen, Pauline/Joan Hash/Mark Wilson、米国標準技術局(NIST)、2006年10月
9 「Information Security and Risk Management」(『Encyclopedia of Multimedia Technology and Networking, 2nd Edition』より) Chen, Thomas M./M. Pagani (編者)、Information Science Reference、2009年
10Risk Management Guide for Information Technology Systems』(SP 800-30 revision 1)Ross, Ronら、米国標準技術局(NIST)、2012年7月
11On Security Awareness Training』Schneier, Bruce、Crypto-Gramm、2013年3月19日

Klaus Julisch はDeloitte’s Enterprise Risk Servicesでシニアマネージャを務め、セキュリティ、プライバシーおよびリスク管理サービスの提供を統括しています。同社に入社する前は、スイスのIBM Research Labの研究スタッフとして、現在主流となっているセキュリティ技術の多くを開拓しました。


Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

© 2013 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.