75問の設問で見えてくる、自社の「セキュリティ偏差値」は幾つ？：セキュリティ評価をもっと手軽に、何度でも

海外拠点や子会社、委託先企業などを狙うサプライチェーン攻撃が増加している。関連企業全体のセキュリティを確保する必要があるが、そのための「セキュリティ評価」はハードルが高い。人も予算も少ない企業はどう進めればいいのか。

[PR／＠IT]

PR

　サイバー攻撃の被害が頻発する中で、企業のセキュリティ担当者の悩みは尽きない。サイバー攻撃から自社を守るためにはセキュリティ対策が欠かせないが、しっかりと対策をしているような企業でも被害に遭っているからだ。

NRIセキュアの薮内氏

　その理由は幾つかある。「サプライチェーンを狙った攻撃」もその一つだ。サプライチェーン攻撃とは、本社を攻撃するために、セキュリティが弱い海外拠点や子会社、委託先企業などを狙う攻撃のこと。この攻撃からビジネスを守るためには、関連する企業全体でセキュリティを確保する必要がある。

　NRIセキュアテクノロジーズ（以下、NRIセキュア）の薮内俊平氏（DXセキュリティ事業本部　GRCプラットフォーム部）は「サプライチェーン攻撃が相次いでいることもあり、『本社だけでなく関連企業全体でセキュリティを評価し、把握したい』というニーズが高まっている」と語る。

立ちはだかる「セキュリティ評価」の壁

　関連企業全体のセキュリティを確保するためには解決しなければならない課題がある。

　セキュリティを評価するためには「何ができていればよいのか」という基準が必要だ。だが、知見がない企業にとって「適切なセキュリティチェックリスト」を作成する難易度は高い。

NRIセキュアの足立氏

　リソースの課題もある。セキュリティ人材は慢性的に不足しており、薮内氏は「リスク評価やアセスメントのための体制を整えるリソースがそもそも足りていないことが多い」と指摘する。少人数の担当者が表計算ソフトウェアなどを使って「なんとかセキュリティチェックリストの形にする」というのが実情なようだ。

　NRIセキュアの足立道拡氏（DXセキュリティ事業本部　GRCプラットフォーム部　副本部長）は「単にチェックリストを作っただけでは全ての関連企業のセキュリティを評価できない」と指摘する。

　「完璧なセキュリティ評価を目指すあまりに設問が多くなり過ぎると、答える側もまとめる側も負担が大きくなってしまう。こうした『評価のジレンマ』を抱える企業は多い」（足立氏）

　この悪循環は対象となる関連企業や拠点の数が多いほど深刻になる。その結果、依頼する側はチェックリストを投げるだけで精いっぱいとなってしまい、「後はやっておいてください」と関連企業に任せきりになりがちだ。

　「そういった状況では『設問が多すぎて答えられない』『回答精度が低い』といった問題が起きてしまう。だからこそ、適度な質と量を兼ね備えたチェックリストを整備することがセキュリティ評価をする上で重要になる」（足立氏）

　ただ、バランスの取れたセキュリティチェックリストの重要性は分かるが、「人材は不足していて知見もない」という企業はどうすればいいのか。

75問に回答するだけで自社や関連企業のセキュリティ状況を可視化

　NRIセキュアはこの課題の解決策として「Secure SketCH」（セキュアスケッチ）を提案する。

　これは、NRIセキュアが用意した「セキュリティチェックシートのWeb版」だ。75問の設問に回答するだけで「自社のセキュリティ対策状況」を可視化できる。回答結果を基にSecure SketCHは、セキュリティ対策の評価である「得点」と、自社のセキュリティの得点がSecure SketCHを利用している他社と比べてどれくらいかを見る指標になる「セキュリティ偏差値」を算出する。

　「セキュリティ偏差値を見ることで『自社のセキュリティ対策のレベルが一般的な企業と比べてどの程度なのか』を把握しやすくなる。2022年1月末時点で約3000社との比較が可能だ」（足立氏）

75問に答えるだけでセキュリティ対策状況の「得点」と「偏差値」が分かる

　足立氏はSecure SketCHの特徴を次のように説明する。

　「これまでは『チェックリストをメールに添付してやりとりして、返事が来ないところには回答を催促して、ようやく集まった回答を集計して……』といった手間がかかる作業を繰り返す必要があった。Secure SketCHはWebで設問に回答するだけで即座に『自社の状況』を把握できる。また、セキュリティ評価に必要な分析や評価、対策の把握などの作業はSecure SketCHに任せられるので作業も効率化できる。複数人で使えるため、属人化を防止し、セキュリティ担当者同士でナレッジが共有しやすいというメリットもある」

　セキュリティチェックリストは、精密さを追求しすぎて肥大化する傾向がある。さらに何かセキュリティ事故が起きたり、新たな規制が加わったりするたびにチェックすべき項目が増えていき、「『監査疲れ』を招く一因になっていた」と薮内氏は指摘する。Secure SketCHは「必要十分な75問」に集約することでこの課題を解決している。

　75問に集約できた理由は「NRIセキュアが『これまでのコンサルティングの経験』と国内外の主要な7種のセキュリティガイドライン（「NIST Cybersecurity Framework」「CIS Controls」など）を基に“セキュリティの共通項目”を抽出しているからだ」と薮内氏は言う。

日本の企業文化やビジネスに合わせた表現や内容に調整

　NRIセキュアの川崎聡太氏（DXセキュリティ事業本部　GRCプラットフォーム部）は次のように語る。

NRIセキュアの川崎氏

　「グローバルで利用されているガイドラインを機械的に翻訳して使っているのではなく、日本の企業文化やビジネスの流れに合わせて表現やチェック項目をカスタマイズしている。データの暗号化やファイアウォールの利用など技術面はもちろん、ポリシーやルールの策定、CSIRTの設置状況といった組織や人の観点での設問も用意している。『企業全体でやるべきこと』を網羅的に評価できる」

　設問は項目ごとに「未実施」「一部実施」「実施済み」「定期的に見直し」を選択する方式になっている。「“一部実施”とはどういう状態のことか」という条件も記されているため、「“一部実施”の項目を“実施済み”にするには何が必要か」という情報も把握できる。川崎氏は「段階的に成熟度を上げるために役立つ」と言う。

NRIセキュアのコンサルティング実績を基にした改善案を提示

　珍しい機能として「あとで確認」というチェックボックスがある。一般的なアンケートでもそうだが、全ての設問に明確に回答できるわけではない。「たぶん実施済みだろうけれど、ちょっと不安が残る」という項目もあるだろう。その場合にこの「あとで確認」をチェックしておいて「複数のメンバーで、不安の残る項目をまとめて確認する」といった使い方が可能だ。

　「グループ会社であっても、取り組み状況にはギャップがあるものだ。『あとで確認』チェックボックスを活用することでそれぞれの企業間での理解を深めることができる。それぞれのメンバーがWebで設問を参照できるので『一人では分からない点を複数のメンバーで確認する』といった作業もスムーズだ。NRIセキュアのコンサルティングにおいても“課題把握の最初の一手”としてこのチェックボックスを活用している」（足立氏）

段階的な導入も可能な「3つのプラン」

　これまでの「チェックリストをメールでやりとりする手法」に比べて、Secure SketCHは手軽に素早くセキュリティ評価を実施できる。ただ、関連する企業の数が多いほど一気に切り替えるのは難しいだろう。

　そこでNRIセキュアはSecure SketCHに3つのプランを用意している。無償で利用できる「FREE」、より詳細に自社のセキュリティ評価ができる「PREMIUM」、複数の企業をまたがったセキュリティ評価ができる「GROUPS」がある。まずはFREEプランで「Webを使ったセキュリティ評価とはどんなものか」を確認し、おおよその自社の状況を把握したらPREMIUMプランに切り替えて、業種や企業規模といった詳細な条件に合わせて比較する。そして最後にGROUPSプランで関連企業に展開するといった使い分けが可能だ。

　薮内氏はPREMIUMプランの特徴として「自動診断機能」を挙げる。これはセキュリティリスクを評価する「SecurityScorecard」と連携した機能で、企業の公開情報を基に、自動的にサーバのパッチ適応状況やセキュリティ機器の稼働状況をチェックし、セキュリティリスクを評価する。

　「主観に基づくチェックは、『把握していない範囲』を評価できない。セキュリティ担当者が知らぬ間に『現場の判断で新しいマーケティングサイトを構築しており、それが脆弱（ぜいじゃく）な状態で公開されている』といった可能性もある。自動診断機能を使うことで『客観的な目線』で自社のセキュリティを評価できる」（薮内氏）

　自動診断機能のメリットは他にもある。自動診断機能は継続的にセキュリティの状況をチェックするため、セキュリティスコアに変動があれば変化をすぐに検知できる。「Secure SketCHによるPDCAのサイクルに加え、自動診断機能を活用することでセキュリティ成熟度を確実に高めることができる」と薮内氏は語る。なお、この機能はGROUPSプランでも利用できるため、自社だけでなくサプライチェーンのセキュリティ統制にも役立つという。

　GROUPSは「複数の企業にまたがって、セキュリティ対策のベースラインを向上させたい」というニーズに合致したプランだ。「地域や国、言語の壁があってもセキュリティ成熟度を上げ、ガバナンスを効かせることができる」と川崎氏は語る。このプランは、川崎氏が海外拠点でガバナンス統制業務に携わっていたころの経験が生かされているという。

　「日本の基準だけでなく、グローバルで通用するセキュリティガイドラインを基にしたチェックリストを用いることが現地で施策の納得感や協力を得るためには重要だった。海外拠点で地域や言語の壁を越えてセキュリティを評価し、対策を進めるためにはシステムを用いた効率的に回せる仕組みが必要だと考え、このプランを企画した」（川崎氏）

GROUPSプランで各拠点を管理できる

見えにくかったセキュリティ対策の効果を可視化

　既に4000社を超える企業がSecure SketCHを活用している（NRIセキュアのWebサイトにリンク）。

　複合機などの小型電気機器を扱うブラザーはGROUPSプランを利用して全世界の72拠点のセキュリティ評価を実施した。ゲームやメディア事業を担うグリーはPREMIUMプランを利用している。「セキュリティ対策は企業責任の一つ」という考え方を持っており、Secure SketCHで算出したセキュリティスコアを「セキュリティ対策報告書」という形で公開している。システム開発を行うソニックガーデンは、社内定例会でSecure SketCHのセキュリティスコアを共有し、継続的にセキュリティ対策レベルを向上させる取り組みをしている。

　NRIセキュアは今後も、IT環境の変化や企業のセキュリティ課題を捉え、Secure SketCHのサービス全般を強化する方針だ。

　「直近では、評価のテンプレートを拡充する。例えば『製造業向け』『金融業向け』など業界特化型のセキュリティガイドラインの取り組みや『委託先評価用』『クラウド環境評価用』などの設問セットを『テンプレート』として増やしていく」（川崎氏）

　セキュリティ対策の状況は可視化が難しく、対策を実施した後の効果を定量化することが難しい。セキュリティ担当者が地道にセキュリティ対策に取り組んでも成果が評価されにくいこともあり、「それがセキュリティ人材不足につながっている側面もある」と足立氏は語る。

　「企業のセキュリティ担当者は、大変だがとても重要で価値のある仕事をしている。だが、その価値や存在意義が認められず、達成感を得られないことはある。『損な役回り』と思われることも少なくない」（足立氏）

　NRIセキュアが実施した「企業における情報セキュリティ実態調査 2021」によると、セキュリティ評価の取り組みは日本企業の一部でしか実践できていないという。

　「NRIセキュアはSecure SketCHを通してセキュリティ評価のハードルを下げ、効率的なセキュリティ評価を日本企業にとって当たり前の習慣にすることで、日本企業のセキュリティレベルの底上げを支援する。それと同時に、セキュリティ担当者が適切な達成感を得るきっかけも提供したいと考えている」（川崎氏）

　既存のセキュリティ評価にお悩みの方も、これから新たに評価を始めたい方も、Secure SketCHを使って見えにくかったセキュリティ対策の効果を、偏差値として可視化してみてはどうだろうか。