• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
ITpro Special
週間WEEKLY ITpro Special ITpro

サイバーセキュリティ経営の方法論

サイバー攻撃が巧妙化・多様化する中、KPMGコンサルティングは豊富なコンサルティングのノウハウを生かして、企業のサイバーセキュリティを支援している。講演ではサイバーリスクへの対処を経営課題と捉える「サイバーセキュリティ経営」の確立を訴えた。さらに予兆を捉え、リスクを先読みし、潜在的な脅威や未知の脅威と対峙するためのインテリジェンス指向のSTICの必要性を語った。

KPMGコンサルティング 小川 真毅 氏
KPMGコンサルティング
サイバーセキュリティアドバイザリー ディレクター
小川 真毅 氏

 企業の情報資産や金銭の搾取を狙うサイバー攻撃は拡大するばかりだ。標的型攻撃は2年ほど前から急増し、警察庁の調べによると2015年は全国で3800件以上の攻撃が確認された。IoTがもたらすサイバーリスクも深刻化している。様々なモノがインターネットにつながるIoT時代は自動車、医療機器、工場の制御システム、家電、GPSなどが攻撃の対象となる。それによる不正操作や異常動作は、人命にかかわる重大事故になりかねない。

 被害が広がれば、情報や金銭の損失だけでなく、巨額の損害賠償に発展し、社会的信頼も失墜する。「サイバーセキュリティは重要な経営課題。自然災害、コンプライアンスリスクと同じように、しっかりとしたリスクマネジメントを行うための『サイバーセキュリティ経営』の実現が強く求められています」とKPMGコンサルティングの小川真毅氏は主張する。その取り組みは顧客の信頼を高め、企業価値の向上につながっていく。

「サーバールームからボードルームへ」
経営者はKPIでリスクを可視化すべし

 これを後押しする社会的機運も高まりを見せる。経済産業省とIPA(情報処理推進機構)が2015年12月に策定した「サイバーセキュリティ経営ガイドライン」はその象徴だ。経営者が企業を守るために実施すべき項目を明確化した。「サイバーセキュリティをIT部門に任せておくというスタンスではリスクマネジメントはうまくいかない。サイバーセキュリティはサーバールームの問題ではなく、ボードルーム(経営会議)で取り組むべき問題なのです」と小川氏は力を込める。

 サイバーセキュリティ経営の実現に向け、まず必要になるのが経営者のリーダーシップである。「経営リスクの中にセキュリティリスクを位置づけ、対応指針を内外に示しながらリーダーシップを発揮することが大切です」と小川氏は訴える。

 小川氏はさらにガバナンスの徹底も図る必要性についても、「子会社/サプライチェーン/委託先などに提供した情報がサイバー攻撃で流出することも大きなリスク要因です。取引のある外部企業にもセキュリティ対策を徹底させる必要があります」と続けた。

 レジリエンス(復元力)の強化も欠かせない。これは被害が発生したことを想定し、業務やステークホルダーへの影響を最小化する危機対応能力のこと。「情報開示を進め、関係者や取引先との信頼関係を高めておくことで、サイバー攻撃による事故が発生したとしても、不信感の高まりを抑えることができます」(小川氏)。

 こうした取り組みを進めていくため、KPMGコンサルティングは「リスク状況」「コンプライアンス」「インシデント」「セキュリティ意識」「セキュリティインテリジェンス」「サイバーセキュリティ成熟度」という6つの重点領域からなるフレームワークを提唱する(図1)。各領域においてKP(Key Performance Indicator、重要業績評価指標)を設定し、経営ダッシュボードを使ってリスク管理の状況を可視化しモニタリングする。「例えば、リスク状況を把握するには網羅的にリスクを洗い出し、適切に評価することが欠かせません。明確な指標に基づき、リスクの深刻度を定義し、それぞれの対応状況を即座に把握できるようにしておくのです」(小川氏)。

[画像のクリックで拡大表示]

 インシデント領域で取り組むべきことは、管理プロセスの可視化だ。インシデントの発生数、影響度合い、発生源や他社も含めた攻撃発生のトレンド統計、インシデント検知や対応に要した時間などを明確にする。「これにより、自社のインシデント管理体制を定量的に評価することができます(」小川氏)。

“英知”を集めて先手を打つ「STIC」
インテリジェンス指向への転換を

 このフレームワークを推進するためには、常に最新のサイバーリスク動向に目を光らせておく必要がある。しかし、サイバー攻撃は日々進化を続け、脅威の発生時期、経路、手口、発生源などはますます予測困難になっている。「これからはサイバーリスクへの対抗手段として、『サイバーインテリジェンス指向』へのマインドチェンジを図ることが大切です」と小川氏は訴える(図2)。未知の脅威を含むサイバーリスクの最新動向や有効な対策などの“英知”を活用することで、脅威が顕在化する前に兆候を捉え、先手を打つことができる。

[画像のクリックで拡大表示]

 サイバーインテリジェンスの活用手法には様々なものがある。OSINT(オープンソースインテリジェンス)はその1つだ。インターネットやソーシャルメディアの公開情報を収集・分析し、新たな攻撃手法や攻撃計画、非公開の脆弱性、悪意のサイト、企業ブランドを傷つける裏情報などを入手し対策に役立てる。「これを有効に機能させるには情報を収集・分析するアナリストの育成・確保といった人材面に加え、ソーシャルメディアとのAPI連携や解析プラットフォームの構築などインフラ面の整備も欠かせません」(小川氏)。

 ダークネットの活用も有効である。ダークネットとは未使用のグローバルIPアドレス群のこと。本来使われていないはずだが、攻撃者たちはここを“巣窟”にして新しい攻撃手法の開発や亜種作成、情報共有活動などを展開している。専門的な知識・スキルを持ったアナリストが“潜入捜査”のように攻撃者グループに深く入り込むことで、闇の情報をいち早く入手できるようになる。

 情報の収集・分析に加え、それを実際のセキュリティ対策に生かすことも重要である。その役割を担うのがSTIC(Securit yThreat Intelligence Center:セキュリティ脅威インテリジェンスセンター)だ。脅威インテリジェンスの収集・分析によって得られた知見を基に、脆弱性や狙われやすいシステム、データ、外部・内部の監視行為などを把握。リスクを埋める対策を進め、セキュリティ監視を担うSOC(Security Operation Center)やインシデント対応を行うCSIRTと連携し、潜在的な脅威や未知の脅威に対応する。「このSTICを自社内に構築することでサイバーインテリジェンスの活用が一層進み、より効果的なリスク管理が可能になります」と小川氏は語る。

 サイバーセキュリティ経営の実現には、KPIによるマネジメント活動のモニタリングと、サイバーインテリジェンス指向のリスク管理が欠かせない。KPMGコンサルティングは会計・財務・税務で培ってきたリスクコンサルティング力を強みに、こうした取り組みをトータルに支援し、リスクマネジメントによる企業価値の向上に貢献している。

お問い合わせ