近年、サイバー攻撃の手法は高度化・巧妙化の一途をたどっています。ランサムウェアをはじめとする攻撃により企業が甚大な被害を受ける事例も後を絶たず、ニュースで目にする機会も増えています。こうした背景から、自社のセキュリティ態勢を可視化し、適切な対策につなげるために、セキュリティアセスメントを導入する企業が増えています。
一口に 「セキュリティアセスメント」 といっても、その目的や実施方法は企業によって大きく異なります。第三者機関による客観的評価を重視する企業もあれば、自社の業務特性に合わせた独自のフレームワークを構築し、継続的に自己評価を行っている企業もあります。また、これまで自社独自のアセスメントを実施してきた企業が、より客観的で網羅的な評価を得るために第三者へアセスメントを依頼するケースも少なくありません。
このように多様なニーズが存在する中で、アセスメントサービスを提供する側には、お客さまの企業規模・業態、セキュリティ成熟度、過去の評価履歴、さらに期間やコストといった要件を踏まえた柔軟なアセスメント設計が求められます。画一的な評価ではなく、既存の取り組みを尊重しつつ、不足部分を効果的に補完することが重要です。
本記事では、独自のチェックリストを用いて定期的にアセスメントを実施しているお客さまに対し、そのフレームワークだけではカバーしきれないセキュリティ領域を補完する目的で、NIST Cybersecurity Framework(以下、NIST CSF)をベースとした当社オリジナルのアセスメントシートを設計し、既存の取り組みと併用してアセスメントを実施した事例をご紹介します。
まず、NIST CSFについて簡単に説明します。
NIST CSFは、技術標準の策定やセキュリティガイドラインの発行を行っている米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が公開している、サイバーセキュリティコントロールを体系的に整理したフレームワークです。
現在は NIST CSF 2.0 が最新版として公開されており、「統治(Govern)」「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」 の6つの機能で構成されています。
また、各機能にはカテゴリが設定されており、さらに細分化された 106 のサブカテゴリが定義されています。
このフレームワークを活用することで、自社のセキュリティ態勢を俯瞰的かつ体系的に評価し、取り組むべきセキュリティ対策を網羅的に可視化することができます。
今回ご支援したお客さまは、これまで独自のチェックリストを用いた定期アセスメントを実施されていました。しかし、以下のような課題を抱えていました。
こうした課題に対し、当社では、NIST CSF をベースとしたオリジナルのアセスメントシートを新たに作成しました。
アセスメントシートの新規作成にあたっては、以下の方針を採用しました。
これらの方針に基づき、当社は NIST CSFの 106 サブカテゴリすべてを網羅的に確認するのではなく、重要度の高い要素に絞り込みながら、既存のチェックリストと自然に併用できるオリジナルアセスメントシートを設計しました。
以下に、設計した質問の一例を紹介します。
NIST CSFの「特定 (ID)」機能のカテゴリのひとつである 「資産管理 (ID.AM)」 には、7つのサブカテゴリが紐づいています。ここでは、「組織で保有する資産が管理されているかどうか」という観点を、資産形式ごとに確認できるようになっています。
それに対して、当社が作成したオリジナルのアセスメントシートでは、このカテゴリにおける要点を4つの質問に整理しました。
加えて、プルダウン形式で選択可能なお客さまの回答内容に応じて、その後に必要となる依頼事項が表示される設計としました。これにより、お客さまが次にとるべきアクションを分かりやすくしました。
網羅性が高いフレームワークであるNIST CSFから質問数を削減する必要があったため、どの項目を統合・省略するかの判断には慎重な検討が不可欠でした。また、既存アセスメントシートとの整合性を保ちながら、どの項目を集約・省略しても評価の妥当性を損なわないかを判断するには、これまでの知見に基づく論理的な検討が求められました。
このため、社内エキスパートを巻き込んだ議論や設問設計には相応の時間をかけ、慎重に作業を進めました。
今回の事例では、お客さまのご要望に応えながら、実効性の高いセキュリティ強化策をご提示することができました。
本取り組みで実現した価値は、大きく次の3点だと考えています。
本記事では、NIST CSFの機能・カテゴリレベルでの網羅性を維持しながら、限られた期間や工数の中でも実施可能なセキュリティアセスメントのアプローチをご紹介しました。
セキュリティアセスメントにおいて重要なのは、フレームワークをそのまま適用することではありません。
組織の目的や制約条件に応じて適切に最適化し、実務で活用できる形へ落とし込むことです。
このように設計されたアセスメントは、単なる現状把握にとどまらず、優先度の高い改善施策を明確化し、 次に取るべき具体的なアクションにつながる基盤となります。
当社には、NIST CSFを用いたセキュリティアセスメントの豊富な実績があり、フレームワークに精通したエキスパートが多数在籍しています。
お客さまの状況・目的・制約条件を踏まえ、アセスメントのスコープや深度を最適化した設計・実施が可能です。
単なるセキュリティ態勢の評価にとどまらず、実効的な改善策の整理やロードマップ策定まで含め、お客さまのセキュリティ強化を継続的にご支援いたします。
本記事は、若手人材がプロジェクトにおいてバリューを創出した取り組みをもとに執筆しています。