セキュリティー対策にPDCAは時代遅れに？
OODAループによる対策の進め方と
ポイントとは

　セキュリティー対策は経営と現場でギャップが生じることが多い。対策を上申するセキュリティー担当者の多くはこう訴える。「〇〇までに終わるように入念に計画しています」「しっかりと競合比較の上で選定した構成です」「費用も当初計画より抑えられています」――。

　このように現場はセキュリティー強化ありきで話を持っていくが、経営者は「どのような経営リスクに対する投資なのか」を知りたい。ここにギャップがあるわけだ。「セキュリティー担当者は『こんな経営リスクが迫っている。だからこの投資が必要だ』と説明できなければなりません。つまりリスクマネジメントという思考の軸を持つ必要があるのです」とIIJの吉田 拓未氏は説く。

　リスクマネジメントを思考の軸に据えて、セキュリティー戦略を立てる。その際に広く使われているのが「PDCAサイクル」だ。PDCAサイクルは、入念な計画と遂行を重要視する。大規模な設備投資を行い、ベンダーに委託してセキュリティー対策ソリューションを構築・運用するアプローチでは効果を発揮するが、近年はそのトレンドが大きく変わりつつある。

　近年、ソリューションの主軸となっているのはSaaS型だ。SaaS型はサブスクリプションモデルで利用でき、脅威トレンドを反映した機能改善やアップデートもスピーディに行われる。多くの手間と時間、コストをかけてソリューションを構築・運用するより、比較的低コストで迅速に導入可能なSaaS型ソリューションを活用する流れが加速している。「必要に応じて、SaaSを追加したり機能を拡張できたりするため、自社のニーズにマッチしたサイバーセキュリティー対策を実現するわけです」と吉田氏は指摘する。つまりソリューションの変遷によって、セキュリティー戦略のメソッドが変わりつつあるわけだ。

　セキュリティー戦略のフレームワークも変化している。これを象徴するのが、2024年2月にNIST（米国立標準技術研究所）が公開した「サイバーセキュリティーフレームワーク（以下、NIST CSF）バージョン2.0」だ。

　NIST CSFは事前対策だけでなく、事後対策のプロセスまで定義した、非常に実践的なフレームワーク。NIST CSF2.0では「識別」「防御」「検知」「対応」「復旧」というプロセスのほかに、新たな機能として「ガバナンス（統治）」が追加された。ガバナンスは全プロセスに適用される。「リスクマネジメント戦略やポリシー、組織内における役割や権限を確立し、これらを監督することで全体としてバランスを取ることを重視しています」と吉田氏は説明する。

　ガバナンスを効かせることで、脅威の進化やそれに伴う対策の不備に早く気づくことができ、リスクを埋める実効力のある対策をよりスピーディに行えるようになる。しかしPDCAサイクルは入念な計画と遂行を重要視するため、戦略の見直しや対策の変更を早いサイクルで回していくことが難しい（図1）。 「セキュリティー戦略のメソッドやフレームワークが変化する中で、PDCAサイクルによるアプローチは、もはや時代遅れなものになりつつあります」と吉田氏は話す。

　 それではどうやってリスクマネジメント思考でセキュリティー戦略を立てればよいのか。新たなアプローチとしてIIJが提唱するのが「OODA（ウーダ）」ループである。「Observe（観察）」「Orient（方向づけ）」「Decide（意思決定）」「Act（行動）」のプロセスからなる、素早い意思決定・行動のためのフレームワークだ（図2）。 　もともとはアメリカ空軍ボイド大佐が提唱したもので、航空戦に臨むパイロットの意思決定を支援するために策定された。変化の速い状況において強みを発揮する手法であるため、現在はセキュリティー戦略にも応用されつつある。「PDCAサイクルと異なり、各プロセス間を行き来して進めることができる柔軟さが、新しいセキュリティー戦略とマッチしています」と吉田氏は述べる。

　注意点は2つある。1つは常に最新の脅威を識別できるよう臨戦態勢であること。もう1つは意思決定者を統一すること。意思決定にバラつきがあるとループが停滞する恐れがあるからだ。「OODAループは脅威の識別を軸に、統一した意思決定者によって判断・実行していくことが重要です」と吉田氏は語る。

　現在、サイバー攻撃には多様な手法が存在するが、OODAループならそれぞれの攻撃に適切な対応を迅速に行えるという。

　「例えば、脆弱性を狙う攻撃があっても、最新のセキュリティーパッチを継続的に適用する仕組みがあれば、攻撃は不発に終わる。そのことを確認できれば、脅威度は下がったと判断できます。一方、クラウドサービスの設定ミスは、情報漏えいのリスクがあります。認識していない脅威は優先度が下がりがちです。個人情報を取り扱うクラウドなら対策の優先度を高めてまずは設定チェックから始めましょう。

　一方、ランサムウエアは手口を変えて攻撃を仕掛けてきます。常に最新の手口を把握し、狙われやすい箇所に重点的にセンサーを配備し、早期に識別・検知・対応できる環境と体制を整えるべきです。また、サイバー攻撃を意識したバックアップ環境の整備も必要でしょう。大切なことは、差し迫る脅威から具体的なリスクを見抜くこと。そのリスクに応じて対策の要否や優先度を判断するわけです」と吉田氏は強調する。

　こうした判断をする上で重要となるのが、時々刻々と進化していく脅威の鮮度だ。そこでIIJではその活動をサポートする情報を発信している。年2回発行する「サイバーセキュリティトレンド」がそれだ。「セキュリティアナリストが最新のセキュリティートレンドを分析し、実施しておくべき推奨対策まで解説しています」と吉田氏は話す。

　なぜIIJが脅威の最新トレンドを把握できるのか。それは同社がインターネット黎明期から日本の商用インターネットの発展と普及を支えてきたからだ。現在ではネットワーク事業を柱に、クラウド事業やモバイル事業、インテグレーション事業のほか、長年にわたり培った技術力と知見と生かし、セキュリティー事業も展開している。OODAループの提唱やそれを支える情報発信は、こうしたバックボーンがあるから可能なのだといえるだろう。

　セキュリティー戦略にOODAループが有効だと理解しても、何をどこから見直すべきか分からないという企業も少なくないだろう。IIJはそのための支援の取り組みとして、無料のプログラム「IIJ Sketch & Draw Workshop」を提供している。「これはセキュリティー提案でも、アセスメントでも、コンサルティングでもありません。最新のセキュリティートレンド分析をもとに、現状のセキュリティー対策の“鮮度チェック”が可能です。これをベースに、目指すべきセキュリティー対策のグランドデザインや、どのようなステップで解決していくかというロードマップを描き、それぞれの企業・組織にベストなセキュリティー対策を一緒に考えていきます」と吉田氏は語る。

　サイバーセキュリティーの本質はリスクマネジメントである。セキュリティー担当者は、経営者と思考の軸を揃えることが重要だ。セキュリティー戦略も新しいメソッドやフレームワークに対応する必要がある。今後もIIJは多角的な取り組みで、サイバーセキュリティーの高度化を幅広く支援していく考えだ。