ゼロトラストに移行するための5つのフェーズにおける、CISOの役割と経営的責任:働き方改革時代の「ゼロトラスト」セキュリティ(23)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストとCISOについて解説する。
相次ぐランサムウェア攻撃による被害やDDoSによるサービスの妨害、執拗(しつよう)な標的型攻撃など、社会におけるデジタルの利活用の場面が増えるとともにサイバーセキュリティの重要性が再認識されています。
従来、事業推進や組織の活動においてコストと考えられてきたサイバーセキュリティは、デジタルの上に積み上げた情報資産や事業環境を守り抜くために必要な投資の一部と考えられるようになりつつあります。
組織の経営に目を向けると、CIO(最高情報責任者)、CTO(最高技術責任者)といった情報システムやテクノロジーを経営に活用するリーダーシップとともに、デジタルの積極的な活用による事業改革を担うCDO(最高デジタル責任者)/CDXO(最高DX《デジタルトランスフォーメーション》責任者)、情報漏えい対策やセキュリティ対策の司令塔となるCSO(最高セキュリティ責任者)/CISO(最高情報セキュリティ責任者)といった経営責任領域が生まれています。
特にCSO/CISOの意思決定が及ぶ領域では、テレワークやクラウドの活用といったデジタルワークプレースの急激な変革とともに激化するサイバー攻撃への対応が求められる状況となり、急速に重要度が増しています。
多くの企業が採用を進めるゼロトラストは、急速に変化した環境の中で質的変化が起こったサイバー脅威の環境に対し、アイデンティティーの集約と認証、認可の徹底によってデータとデジタル環境の安全を維持する仕組みとして注目されており、これらの導入決定や推進にもCSO/CISOの経験や判断が欠かせません。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回から、ゼロトラストの長い航海を成功に導くクルーともいえる人材やチームについて考えます。今回は、ゼロトラストへ移行するためのステップごとに求められる人材の中で、CISOと経営的責任について考えます。
ゼロトラストに移行する5つのフェーズ
2022年7月にIPA(情報処理推進機構)が公開したレポート「ゼロトラスト移行のすゝめ」では、企業や組織がゼロトラストに移行するための5つのフェーズを紹介しています。
ゼロトラストの導入ステップについてはさまざまなホワイトペーパーやドキュメントで議論されていますが、IPAの示すフェーズでは、ゼロトラストの考え方を企業や組織のセキュリティに適用するために行うべき活動が端的に整理されています。
この導入ステップでは、現在採用されているセキュリティの考え方から組織のセキュリティをゼロトラストにシフトするために、現状の分析とありたい姿の検討から始まり、計画の作成、投資判断、環境構築と検証改善の繰り返しへと進んでいきます。
この導入ステップをモデルとして、ゼロトラストを導入する際にどのような人材が必要となるのかを考えてみます。
経営責任としてのサイバーセキュリティとCISO
企業や組織全体の情報セキュリティに関する経営的判断と責任を担うのがCISOです。
事業におけるデジタル領域の拡大によって、「情報」は単に記録された情報を表すだけでなく、事業活動そのものに変化しつつあります。企業や組織におけるデジタルへの依存度の高まりとともに、サイバー攻撃を受けた際に生ずるダメージも加速的に増大しています。
内部不正やサイバー攻撃によってサイバーセキュリティインシデントが生じた場合、企業秘密や取引先、サービス利用者の個人情報の漏えいなど自組織だけでなくステークホルダーに対する影響も大きく、責任が問われる状況となりました。
デジタルへの依存度が高まった現在の事業環境では、サイバーセキュリティインシデントの発生は事業継続に対する影響が大きく、常に経営的判断が問われます。CISOは、平常時の防御体制の構築やインシデント発生時の迅速な対処、関係機関との連携など情報セキュリティに関する経営的判断を適切に下す責任と能力が求められます。
CISOと同様に、情報システムの戦略に対して経営責任を有するCIOがCISOの役割を兼任するケースもあります。
ネットワークによってさまざまなシステムが接続される現代のデジタル環境においてとは、情報システムが本来果たすべき機能にセキュリティの考え方が含まれているべきです。その観点では、情報システムの戦略を担うCIOがセキュリティの観点での対策や対応を所管するのはごく自然な取り組みといえます。
とはいえ、サイバーセキュリティで考慮すべき領域が拡大し続けている昨今で、日々進歩する技術への追従やサイバー攻撃トレンドの把握、管理すべき対象の統制などを考えると、CISOの専任が現実的です。
CISOの役割
一般的な企業や組織では、CISOは経営層の一員として以下のような役割を果たします。
- セキュリティポリシーの策定と運用
企業や組織における情報の取り扱いや情報システムが備えるべきセキュリティレベルを定めたセキュリティポリシーの策定や運用を管轄します。
- セキュリティ施策の策定と推進
セキュリティポリシーに準じて企業や組織の情報システムや業務環境に必要なセキュリティ施策の導入と推進を管轄します。
- セキュリティ監査の実施
導入したセキュリティ施策が適切に運用されているかどうかを監査します。定期的な監査によってセキュリティ状況を把握し、場合によっては是正措置を指示します。
- セキュリティインシデントの対応
さまざまな原因で発生するセキュリティインシデントにおいて経営層の一員としてセキュリティ担当者や情報システム担当者とともに問題解決に当たります。責任者としてステークホルダーへの説明やベンダーとの連携も担います。
このように、デジタルへの依存度が高まる昨今は、企業や組織内の情報システムのセキュリティリスクの把握や緩和策を一手に担うCISOの果たす役割は広範囲にわたります。加えて、サイバー攻撃に関するトレンドの把握や、対策に関する技術的な知見などサイバーセキュリティに関する知識のアップデートも欠かせません。
ゼロトラスト導入におけるCISOの役割
「ゼロトラストのすゝめ」に書かれるPhase.1では、ゼロトラスト導入の目的を掲げ、AS-ISの分析からありたい姿を検討しますが、CISOはこれまでのセキュリティポリシーや監査状況に基づく現在の課題を認識し、ゼロトラストの導入によって何が解決されるのかを理解する必要があります。
Phase.2では現状分析と目指す目標に対して、AS-ISに基づくTO-BEを設計し、ゼロトラストにおけるグランドデザインを行います。これにはゼロトラストの方式や構成を理解したセキュリティ担当者や有識者の助言を基に、自組織や事業にフィットしたデザインとセキュリティ機能の適用を見定める必要があります。
Phase.3では、ゼロトラストに対する投資判断が行われます。CISOは、ゼロトラストで導入するセキュリティ機能を理解し、得られる投資効果を経営層全体の共通認識にする役割があります。
現在のサイバーセキュリティは情報システムと透過的に一体化している部分も多く、情報システムとの連動が不可欠です。時に情報システムの更改スケジュールとセキュリティの導入計画が合致しない場合もありますが、情報システム更新時期の繰り上げなど、大きな経営的判断を迫られる場面もあります。
Phase.4以降の構築プロセスでは、CISOは日常的なセキュリティ運用体制の推進と並行して、ゼロトラスト導入の投資計画にそって、進捗(しんちょく)状況の把握や課題への対応など構築現場の支援が中心となります。
ゼロトラストの導入では、情報システムやネットワークの利用方法に大きな変更が加わる場面が多々あります。働く環境の大きな変化に当たっては、ITリテラシーに応じた学習機会の用意や利便性の向上とともに提供し、ゼロトラストの導入によるメリットを丁寧に説明するなど従業員の理解を得る活動も極めて重要です。
CISOは現場で生じるこれらの活動を理解し、必要なサポートの用意が欠かせません。
ビジネスイネーブラーとしてのサイバーセキュリティとゼロトラスト
事業環境やビジネスそのもののデジタル化が進んだことで、利便性や情報収集の速度、データから生み出される価値が急速に増大しています。
サイバーセキュリティは、デジタルで得られた価値をサイバー攻撃から防衛し、事業におけるサイバーリスクの低減を図る効果的な戦略ですが、従来のセキュリティ対策は利便性を多少犠牲にしながらリスクを低減するものが主流となっていました。アイデンティティーやデバイスの管理、ネットワークの保護、データの漏えい防止など、セキュリティ対策で求められることは多岐にわたりますが、統制の強化は利便性を犠牲にするケースが多々あったといえます。
昨今は、仮想化技術とクラウドサービスの進化によって、セキュリティが透過的にデジタル環境に組み込まれるようになりました。セキュリティの実現を前提としたセキュリティバイデザインの考え方によって、特別な制約を意識せずに安全かつ利便性の高いデジタル環境の実現が可能なソリューションが一般化しつつあります。
AI(人工知能)やメタバースといった新たなデジタル技術の利活用についても、可能性の追求とともに事業や利用者の安全を確保する必要があります。
ゼロトラスト時代のCISOには、組織におけるセキュリティ対策を統制による締め付けだけではなく、テクノロジーの活用を正しく見極めて利便性を高められるビジネスイネーブラーとしての役割が期待されています。
筆者紹介
仲上竜太
ニューリジェンセキュリティ株式会社
CTO 兼 クラウドセキュリティ事業部 副部長
ラックと野村総合研究所の合弁によるクラウドセキュリティ企業、ニューリジェンセキュリティ株式会社のCTOを務める傍ら、進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行う。
デジタルトラストナビゲーター。家では夜な夜なクラフトビールを片手にメタバースでの生活を過ごしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバー攻撃を懸念する声の多かったオリパラが無事に閉幕した理由
「CISOは事業部門と共通の目標を持つこと」は教科書的な言葉で聞く方も「また抽象的な話か……」と飽き飽きするだろう。だが、東京オリンピック・パラリンピック2020では「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成した。その要因は何だったのだろうか。
2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド
CISO(最高情報セキュリティ責任者)は最新トレンドを理解し、強力なセキュリティ対策を計画、実行すべきだ。2020年は、新型コロナウイルス感染症への対応もセキュリティチームにとって大きな課題となっている。
Cloud Security Alliance、ソフトフェア定義型境界とゼロトラストに関するホワイトペーパーを発表
Cloud Security Alliance(CSA)は、ホワイトペーパー「Software Defined Perimeter(SDP)and Zero Trust」(ソフトフェア定義型境界とゼロトラスト)を発表した。