WithSecure(ウィズセキュア)は、フィンランド・ヘルシンキにおいて「Sphere 2023」を5月24日~25日の2日間にわたり開催した。本稿では、WithSecure CISO(Chief Information Security Officer:最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏の話を紹介する。
求められるCISOの役割
司会者に紹介され、登壇したベヘラスコ氏は「あなたの組織での役割は何ですか?分野としてのサイバーセキュリティはまだ未熟であったり、あまり広く理解されていなかったり、CISOがいなかったりするので、何でもありの状態です。もちろん、この立場はかなり新しいものです」と、冒頭に述べた。
こうした何でもありの状態の要因としては、組織が抱える脅威に対して利用しているソリューションやサービスは、ともすれば技術的なボキャブラリーを使う傾向があり、経営陣を遠ざけている向きもあると同氏は語っている。
そのため、同氏は「私たちが行っていることを理解してもらう必要があるのです。しかし、特に組織のサイバーセキュリティ・プログラムがまだ未成熟である場合には、CISOの役には立ちません」と断言する。
なぜなら、CISOは組織のさまざまな層への理解を深め、サイバーセキュリティ・プログラムが実行されていることを確認する必要があるため、さまざまな層に対応したモデルの作成がポイントになるという。
「Security Outcomes Canvas」とは
こうした状況をふまえ、ベヘラスコ氏は「もし、経営者が理解できる言葉、彼らが求めている情報、そして実行のための出発点を示すことができる方法があるとしたら、どうでしょうか?そこで、最初のバージョンとなる『Security Outcomes Canvas 1.0」(セキュリティ・アウトカム・キャンバス)を紹介します」と話した。
同社では従来から「アウトカムベースセキュリティ」を提唱している。これは大局的な観点でセキュリティを捉え、組織・企業としてどのような目標を持ち、ビジネスを達成するのか、そしてサイバーセキュリティがビジネスの目標を達成するために、いかにサポートできるかを考えることと位置付けている。
セキュリティ・アウトカム・キャンバスは、アウトカムベースセキュリティを実現するためのものであり、ビジネスモデル・キャンバスを参考とし、以下の7項目での取り組みを推奨している。
1. 「Business Outcomes」(ビジネスの成果)
2. 「Primary Risks」(リスク)
3. 「Security Outcomes」(セキュリティの成果)
4. 「Major Opportunities」(機会)
5. 「Key Initiatives」(イニシアティブ、優先事項)
6. 「Key Resources」(リソース)
7. 「Cost」(コスト)
では、7項目について具体的にみていこう。まず、(1)においてビジネスの成果を定める。ビジネスの成果は組織そのものが何を達成しようとしているのかということであり、戦略について経営幹部やステークホルダーに繰り返し説明し、組織が本当に達成しようとしていることを理解してもらう。
その後、(2)リスクに移行する。CISOは、ビジネス・アウトカムに影響を与えている上位3~5個のリスクにフォーカス。一例としては、顧客へのサプライチェーン攻撃や情報漏えい、インフラ制御の喪失、サービス停止などだ。
これらのリスクを軽減し、ビジネスの成果をより高い確率で達成するために必要なセキュリティ上の成果とは何か。組織を守るためには、ベンダーやサプライヤー、サプライチェーンにおけるさまざまな組織の人たちが、サイバーセキュリティに対する考え方を高めていく必要がある。これらのリスクは、ビジネスの成果の成功率を低下させるものだからだ。
リスクを特定できたら次に(3)セキュリティの成果に移る。ベヘラスコ氏は「セキュリティの成果とは、ビジネスの成果に対するリスクを低減することに役立ちます。組織が必要とする基本的なセキュリティ成果は何か、組織が望む関連するビジネス成果をサポートするために、どのようなセキュリティ成果が必要なのかを考えます。これにより、組織内のあらゆる場所でサイバーセキュリティのマインドシェアを高め、ビルトインされたサイバーセキュリティの状態を保ちます」と説く。
そして、続いては(4)の機会だ。組織でセキュリティの成果をサポートするどのような機会があるかを考え、セキュリティ上の成果を達成するのに役立つ可能性のある主要な機会を特定する。これは、ITのクラウド化や財務プロセスの刷新などが該当する。
キャンバスの(1)~(4)でベースラインを整えたら、次は(5)~(7)で肉付けをしていく。(5)のイニシアティブでは組織内でビジネス上の取り組みを特定し、それがビジネスとして達成すべき取り組みであることを組織内の幹部と合意する。
セキュリティの成果のために既存の取り組みと新たに必要な取り組みを明らかにし、既存の取り組みでは、外部監査やインシデントガバナンス、新たな取り組みとしては開発、運用サイクルを迅速かつ継続的に行うDevOpsに、セキュリティを組み込んだソフトウェア開発手法であるDevSecOpsの実装やアプリケーションのSaaS(Software as a Service)化などを挙げている。
(6)では組織内のテクノロジー、プロセス、人材をはじめとしたリソースをリストアップし、セキュリティ成果のために既存のリソースと必要なリソースを特定する。
組織内で、すでにサポートしているテクノロジーや活用されていないテクノロジー、どのような新しいテクノロジーが必要かを精査するほか、プロセスでは既存のプロセス、新しいプロセスの有無、どのようなプロセスを変更する必要があるかを把握。人材は既存の取り組みには誰が取り組み、新しい取り組みは誰が担当するのかを決める。
最後に(7)コストだ。これらのセキュリティ成果を達成するために必要な最も重要なコストは何か、どの取り組みが最も費用がかかるのかを認識し、イニシアティブとリソースのコスト構造を定義する。これには、外部コンサルタント料やMDR(Managed Detection and Response)サービス、トレーニングプラットフォームのサブスクリプションコストなどが該当する。
サイバーセキュリティを後付けするのではなく、あらかじめ組み込む
ベヘラスコ氏は「サイバーセキュリティは自分たちの仕事の一部であり、組織を守り、サプライチェーンを守り、安全なソフトウェアだけを顧客に提供するということを保証していくれるものという認識を持つことです」と説く。
同氏によると、例えば法務担当者がサイバーセキュリティを契約に組み込む権限と説明責任を与えられれば、信頼性を確保して、問題を起こさないというビジネス成果を達成する可能性が高くなる。そのため、サイバーセキュリティを後付けするのではなく、あらかじめ組み込まれた状態が望ましいという。
そのうえで、同氏は「私たちには顧客がおり、サプライヤーがいます。私たちは皆、相互接続されたデジタルの中で生活しており、自分たちのコミュニティの安全を確保しようとしていますが、セキュリティはウェブ全体に広がっています」との認識を示す。
そして、ベヘラスコ氏は「正直なところ、私たちにはあらゆるツールが必要です。なぜなら、サイバーセキュリティの分野は未熟であり、このことをどのように説明するかという課題があるからです。Security Outcomes Canvasを作成すれば、組織のさまざまな層との会話に使用可能な単一なモデルを用意でき、実際に効果が発揮できます。そうすれば、理解の一致を得ることができ、プログラムを実行に移すことが可能になるのです」と締め、プレゼンテーションを終えた。