★☆★JNSAメールマガジン 第268号 2023.8.4☆★☆
2023/08/04 (Fri) 15:30
★☆★JNSAメールマガジン 第268号 2023.8.4☆★☆
こんにちは
JNSAメールマガジン 第268号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
CISO支援ワーキンググループリーダー 高橋正和 様にご寄稿いただきました。
【連載リレーコラム】
業務執行としてのセキュリティ:机上演習ワークショップからの考察
CISO支援ワーキンググループ 高橋正和
CISO支援WGでは、2018年に「CISOハンドブック(JNSA)」を公表以来、
「業務執行としてのセキュリティ」という観点からWG活動を続けている。
本稿では、CISO支援WGが考える「業務執行としてのセキュリティ」と、昨年度
及び本年度の成果である机上演習(ワークショップ)を紹介し、これらの活動
から得た知見について考察する。
なお、ワークショップ用のマテリアル(進行用資料や表などのドキュメント類)
を、以下のURLで公開したので、併せてご参照頂きたい。
※CISO-PRACTSIEワークショップ用マテリアル(2023年7月14日公開)
https://www.jnsa.org/result/act_ciso/2023/index.html
・業務執行としてのセキュリティ
近年、経営レベルからセキュリティに取り組む重要性が認識されるように
なったが、「経営者がセキュリティを理解する必要がある」という論調が多く、
経営陣の一員であるCISOが、当事者として「どのように経営に参画するのか」
といった議論はあまり見られない。
CISO支援WGでは、これを「業務執行としてのセキュリティ」と位置づけ、必要な
知識の取りまとめ、ツールの開発に取り組み、それぞれ「CISOハンドブック」(※1)
「CISOのための情報セキュリティ戦略」(※2) として公表している。
・机上演習を利用したセキュリティ対策の評価(CISO-PRICTSIE)
セキュリティ施策は、ISMSなどの規準・ベストプラクティスを中心に発展を
してきた。重要な取り組みだが、単なるチェックリストとして使われることも
多く、対策の遵守性は評価されていても、有効性については必ずしも評価され
ていない。つまり、セキュリティ対策のデバッグが行われていない状況にある。
CISO支援WGでは、自社のセキュリティ施策の有効性を評価する手法として、
机上演習を使った有効性評価(CISO-PRACTSIE※3)を提案している。
この机上演習をワークショップとして実施するなかで、CISOとして活動して
いる方(CISOグループ)と、セキュリティ専門家(専門家グループ)の間に、
重要なギャップがみられた。
本稿では、特にギャップが大きかった「ワーストケースの想定と必要な対処の
選択」、「対象事業と関連するステークホルダーへの注目度」、「報告や公表
のあり方」について考察する。
※1:CISOハンドブック(技術評論社) ISBN 978-4297118358
※2:CISOのための情報セキュリティ戦略(技術評論社) ISBN 978-4297132941
※3:CISO-PRACTSIE: PRactical Assessment for Company-wide security measures Through Security Incident Exercise for CISO
・ワーストケースの想定と必要な対処の選択
ワークショップでは、最初に「1. 端末がランサムウエアに感染した」という
シナリオを使い、その対処をディスカッションする。ウォーミングアップとし
て作ったセッションだが、意外に面白いディスカッションになる。
CISOグループでは、シナリオで明記した当該社員の利用サービスと、当該社員
が特権を持つサービスに注目が集まった。これは、ワーストケースを想定し、
そこから確認すべき事象を逆算しているものと考えている。
これに対し、専門家グループは、情報を得る目的、つまり、情報を得られた
場合、得られなかった場合のアクションを想定せずに情報収集を試みる傾向が
あった。特定のソリューションを起点に、一般化・抽象化された問題を扱って
いると、状況から必要なアクションを導き出す視点が育ちにくいのかもしれない。
・対象事業と関連するステークホルダーへの注目度
ワークショップでは、次に「2. 主要なシステムがランサムウエアで停止した」
というシナリオに取り組んでいただいている。
CISOグループでは、身代金の支払いに対して「売上、身代金、事業への影響を
考えれば、身代金を払うのが妥当」、「会社と自身の将来に関わるため絶対に
払わない」と、相反する意見があったが、立場と論点が明らかになっていた。
また、「まず、顧客にどう伝えるかを考えるべきである」、「犯人との交渉は
試みる価値がある」といった、事業に対する現状と将来の影響を考察し、
ステークホルダーを考慮した対応シナリオに落とし込んだ意見が交わされた。
専門家グループは、企業リスク管理(ERM: Enterprise Risk Management)の
視点が見られず、「社会的な正義として身代金は支払うべきではない」など、
理念に基づいて判断する傾向がみられた。アドバイザーとしての立場であれば
問題ないのだが、業務執行の当事者は、CISOグループのように、「立場と
論点」を明らかにする必要がある。
また、身代金の支払い以外の議論が少なく、対策チーム・対策本部の必要性や、
シナリオが設定したタイムライン(制限時間)に対する議論が見られなかった。
現状への対応を模索するよりは、(どこかにある)客観的な正解を探す傾向が
あるようだ。
・報告と公表のあり方
ワークショップでは、ここまでのディスカッションに基づいて、経営者への
報告と、模擬記者会見を行っていただいている。
CISOグループの経営者への報告は、現状、想定されるリスク、経営陣への依頼
事項が盛り込まれた、適切でそつがないものであった。模擬記者会見では、
社長役として登壇いただいた方の「登壇して、はじめて不安を覚えた」との
コメントが印象に残った。
専門家グループは、報告が現状(調査内容と実施済みの対処)に終始する傾向
があり、経営者に何かを依頼する視点に欠ける傾向にあった。専門家グループ
の報告は、いわゆる「報連相」に沿った報告にみえる。「報連相」は組織や
グループ内で解決できる問題には有効かもしれないが、組織や権限を越える
重要な問題に対しては有効な手法ではない。
後日CISO支援WGのディスカッションで、「自分が報告した内容としてはどこを
直せばよいか分からないが、部下から提出された報告と考えると、指摘したい
ことが多い」とのコメントがあった点も興味深い。
・ギャップから考える課題設定
本稿で取り上げたギャップは、オフィサー(担当者・当事者)とアドバイザー
(外部の専門家)の違いに由来すると考えている。専門家グループは主にアド
バイザーとして活動をしており、オフィサーとしての知見が薄いのは当然と
言える。
近年、「経営者のセキュリティへの理解を深める」ことが課題とされているが、
この課題設定では具体的な課題解決の道筋が見えない。むしろ、本稿で紹介
したCISOグループのように、「セキュリティ専門家が事業や経営を念頭に置い
た業務執行が出来ること」、つまり「業務執行としてのセキュリティができる
CISO」の育成が課題設定として適している。
・むすび:CISOは育成出来るのか
CISO支援WGは、一連のワークショップを通じて、セキュリティ専門家とCISOの
ギャップを俯瞰することができた。WG内で、このギャップについてディスカッ
ションを行った際に、「ワークショップにはCISOの育成という視点がない」と
の指摘があった。
「CISOハンドブック」はCISOの育成を目指したものだが、考えてみれば、本稿
で考察したギャップを埋めるものではない。CISOに求められる「業務執行と
してのセキュリティ」を身につけるためには、セキュリティ専門家が今回の
ワークショップのような具体的なシナリオに沿って、CISOの考え方と、背景に
ある知見を身につけることが有効ではないかと考えている。
CISO支援WGでは、本稿で述べた考察に基づいて、CISO育成についての模索を
続けていきたい。これまで、あまり議論されていない領域であるため、多くの
方々、多様な方々にCISO支援WGにご参加を頂けることを期待している。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
※googleアンケートフォームを利用しています。
https://tinyurl.com/yf7t4xex
【部会・WGからのお知らせ】
★調査研究部会 IoTセキュリティWG主催セミナー
「日本におけるソフトウェアサプライチェーンとSBOMのこれから」
8/25開催 参加登録開始しました。
https://www.jnsa.org/seminar/2023/iot/index.html
★標準化部会主催オンラインセミナー
「ゼロトラストと標準化」8/23開催 参加登録受付中です。
https://www.jnsa.org/seminar/2023/std/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/te0lework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第268号
発信日:2023年8月4日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第268号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
CISO支援ワーキンググループリーダー 高橋正和 様にご寄稿いただきました。
【連載リレーコラム】
業務執行としてのセキュリティ:机上演習ワークショップからの考察
CISO支援ワーキンググループ 高橋正和
CISO支援WGでは、2018年に「CISOハンドブック(JNSA)」を公表以来、
「業務執行としてのセキュリティ」という観点からWG活動を続けている。
本稿では、CISO支援WGが考える「業務執行としてのセキュリティ」と、昨年度
及び本年度の成果である机上演習(ワークショップ)を紹介し、これらの活動
から得た知見について考察する。
なお、ワークショップ用のマテリアル(進行用資料や表などのドキュメント類)
を、以下のURLで公開したので、併せてご参照頂きたい。
※CISO-PRACTSIEワークショップ用マテリアル(2023年7月14日公開)
https://www.jnsa.org/result/act_ciso/2023/index.html
・業務執行としてのセキュリティ
近年、経営レベルからセキュリティに取り組む重要性が認識されるように
なったが、「経営者がセキュリティを理解する必要がある」という論調が多く、
経営陣の一員であるCISOが、当事者として「どのように経営に参画するのか」
といった議論はあまり見られない。
CISO支援WGでは、これを「業務執行としてのセキュリティ」と位置づけ、必要な
知識の取りまとめ、ツールの開発に取り組み、それぞれ「CISOハンドブック」(※1)
「CISOのための情報セキュリティ戦略」(※2) として公表している。
・机上演習を利用したセキュリティ対策の評価(CISO-PRICTSIE)
セキュリティ施策は、ISMSなどの規準・ベストプラクティスを中心に発展を
してきた。重要な取り組みだが、単なるチェックリストとして使われることも
多く、対策の遵守性は評価されていても、有効性については必ずしも評価され
ていない。つまり、セキュリティ対策のデバッグが行われていない状況にある。
CISO支援WGでは、自社のセキュリティ施策の有効性を評価する手法として、
机上演習を使った有効性評価(CISO-PRACTSIE※3)を提案している。
この机上演習をワークショップとして実施するなかで、CISOとして活動して
いる方(CISOグループ)と、セキュリティ専門家(専門家グループ)の間に、
重要なギャップがみられた。
本稿では、特にギャップが大きかった「ワーストケースの想定と必要な対処の
選択」、「対象事業と関連するステークホルダーへの注目度」、「報告や公表
のあり方」について考察する。
※1:CISOハンドブック(技術評論社) ISBN 978-4297118358
※2:CISOのための情報セキュリティ戦略(技術評論社) ISBN 978-4297132941
※3:CISO-PRACTSIE: PRactical Assessment for Company-wide security measures Through Security Incident Exercise for CISO
・ワーストケースの想定と必要な対処の選択
ワークショップでは、最初に「1. 端末がランサムウエアに感染した」という
シナリオを使い、その対処をディスカッションする。ウォーミングアップとし
て作ったセッションだが、意外に面白いディスカッションになる。
CISOグループでは、シナリオで明記した当該社員の利用サービスと、当該社員
が特権を持つサービスに注目が集まった。これは、ワーストケースを想定し、
そこから確認すべき事象を逆算しているものと考えている。
これに対し、専門家グループは、情報を得る目的、つまり、情報を得られた
場合、得られなかった場合のアクションを想定せずに情報収集を試みる傾向が
あった。特定のソリューションを起点に、一般化・抽象化された問題を扱って
いると、状況から必要なアクションを導き出す視点が育ちにくいのかもしれない。
・対象事業と関連するステークホルダーへの注目度
ワークショップでは、次に「2. 主要なシステムがランサムウエアで停止した」
というシナリオに取り組んでいただいている。
CISOグループでは、身代金の支払いに対して「売上、身代金、事業への影響を
考えれば、身代金を払うのが妥当」、「会社と自身の将来に関わるため絶対に
払わない」と、相反する意見があったが、立場と論点が明らかになっていた。
また、「まず、顧客にどう伝えるかを考えるべきである」、「犯人との交渉は
試みる価値がある」といった、事業に対する現状と将来の影響を考察し、
ステークホルダーを考慮した対応シナリオに落とし込んだ意見が交わされた。
専門家グループは、企業リスク管理(ERM: Enterprise Risk Management)の
視点が見られず、「社会的な正義として身代金は支払うべきではない」など、
理念に基づいて判断する傾向がみられた。アドバイザーとしての立場であれば
問題ないのだが、業務執行の当事者は、CISOグループのように、「立場と
論点」を明らかにする必要がある。
また、身代金の支払い以外の議論が少なく、対策チーム・対策本部の必要性や、
シナリオが設定したタイムライン(制限時間)に対する議論が見られなかった。
現状への対応を模索するよりは、(どこかにある)客観的な正解を探す傾向が
あるようだ。
・報告と公表のあり方
ワークショップでは、ここまでのディスカッションに基づいて、経営者への
報告と、模擬記者会見を行っていただいている。
CISOグループの経営者への報告は、現状、想定されるリスク、経営陣への依頼
事項が盛り込まれた、適切でそつがないものであった。模擬記者会見では、
社長役として登壇いただいた方の「登壇して、はじめて不安を覚えた」との
コメントが印象に残った。
専門家グループは、報告が現状(調査内容と実施済みの対処)に終始する傾向
があり、経営者に何かを依頼する視点に欠ける傾向にあった。専門家グループ
の報告は、いわゆる「報連相」に沿った報告にみえる。「報連相」は組織や
グループ内で解決できる問題には有効かもしれないが、組織や権限を越える
重要な問題に対しては有効な手法ではない。
後日CISO支援WGのディスカッションで、「自分が報告した内容としてはどこを
直せばよいか分からないが、部下から提出された報告と考えると、指摘したい
ことが多い」とのコメントがあった点も興味深い。
・ギャップから考える課題設定
本稿で取り上げたギャップは、オフィサー(担当者・当事者)とアドバイザー
(外部の専門家)の違いに由来すると考えている。専門家グループは主にアド
バイザーとして活動をしており、オフィサーとしての知見が薄いのは当然と
言える。
近年、「経営者のセキュリティへの理解を深める」ことが課題とされているが、
この課題設定では具体的な課題解決の道筋が見えない。むしろ、本稿で紹介
したCISOグループのように、「セキュリティ専門家が事業や経営を念頭に置い
た業務執行が出来ること」、つまり「業務執行としてのセキュリティができる
CISO」の育成が課題設定として適している。
・むすび:CISOは育成出来るのか
CISO支援WGは、一連のワークショップを通じて、セキュリティ専門家とCISOの
ギャップを俯瞰することができた。WG内で、このギャップについてディスカッ
ションを行った際に、「ワークショップにはCISOの育成という視点がない」と
の指摘があった。
「CISOハンドブック」はCISOの育成を目指したものだが、考えてみれば、本稿
で考察したギャップを埋めるものではない。CISOに求められる「業務執行と
してのセキュリティ」を身につけるためには、セキュリティ専門家が今回の
ワークショップのような具体的なシナリオに沿って、CISOの考え方と、背景に
ある知見を身につけることが有効ではないかと考えている。
CISO支援WGでは、本稿で述べた考察に基づいて、CISO育成についての模索を
続けていきたい。これまで、あまり議論されていない領域であるため、多くの
方々、多様な方々にCISO支援WGにご参加を頂けることを期待している。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
※googleアンケートフォームを利用しています。
https://tinyurl.com/yf7t4xex
【部会・WGからのお知らせ】
★調査研究部会 IoTセキュリティWG主催セミナー
「日本におけるソフトウェアサプライチェーンとSBOMのこれから」
8/25開催 参加登録開始しました。
https://www.jnsa.org/seminar/2023/iot/index.html
★標準化部会主催オンラインセミナー
「ゼロトラストと標準化」8/23開催 参加登録受付中です。
https://www.jnsa.org/seminar/2023/std/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/te0lework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第268号
発信日:2023年8月4日
発 行:JNSA事務局 sec@jnsa.org
*************************************