経営者を悩ませる、セキュリティ対策の意思決定　現場の情報共有からリスク評価まで一元管理できる仕組み

データ侵害の5件に1件は「サプライチェーン攻撃」

飯塚忍氏：ＳＯＭＰＯリスクマネジメント・Panorays製品エンジニアの飯塚と申します。本日は「誰が見てもわかるサプライチェーンリスク～経営者の視点・現場の視点～」というお話をさせていただきます。よろしくお願いいたします。

本日の流れですが、このアジェンダのとおりにお話しいたします。

まず簡単に会社概要です。保険会社の損保ジャパンという会社はご存じかもしれないんですが、サイバーの領域でＳＯＭＰＯリスクマネジメントという会社名は、あまり耳なじみがない方も多くいらっしゃるのではないかと思います。

弊社はＳＯＭＰＯホールディングスの国内損保事業の中で、リスクマネジメント事業を手掛けている会社でございます。私はその中でサイバーセキュリティの領域に所属し、日々お客さまにセキュリティを提案するエンジニア業務をさせていただいております。次のスライドから具体的なお話をいたします。

深刻化するサプライチェーンリスクについてのお話です。こちらは国内の具体的な数字なんですが、世の中のサイバー攻撃の手法は、複雑化の一途をたどっていると思います。そこに講じなければならないセキュリティの脅威対策も日々増えているかと思います。

そのような中で、データ侵害の5件に1件はサプライチェーン攻撃が原因で、被害総額の平均は一般的な被害額を上回るとも言われています。

データ侵害のタイプは複数あるんですが、その中の約2割を占めるのがサプライチェーン攻撃です。また右のグラフは、被害総額に見るサプライチェーンに起因するデータ侵害で、左側が一般的なデータの侵害の場合の被害の平均額です。右がサプライチェーンに関連するものなんですが、平均してもサプライチェーンに起因するもののほうが非常に多くなっております。

昨今のビジネスはグローバル拠点を含め、拠点間の取引や相互関係が非常に複雑になっております。その中で弱いところを探して攻撃をしようと、手薄な海外の子会社・委託先を狙うサプライチェーンの攻撃が増加傾向にあります。

脅威ランキング2位は、サプライチェーンの弱点を悪用した攻撃

また、より細かいビジネスの動向なんですが、利便性の向上や作業の効率化を追求するにあたって、デジタルトランスフォーメーション、DXですね。デジタル化が世の中で急速に進んでおります。それらを自組織だけで完結させるのは非常に難しいご時世になってきております。

その中で委託先の会社さま、関連会社さまとの連携はとても重要になってきております。またセキュリティ人材もなかなか確保できない中で、専門知識や人材不足を補う目的で、外部に開発であったり作業を委託するケースは非常に増えてきております。

また、自社だけでの開発は非常に難しく、事業の拡大に伴い企業買収、吸収合併、事業の細分化でグループ会社の再編も日々行われています。

先ほどのお話ともつながるのですが、新たなリスクとして、サプライチェーンに対してのリスクは日々拡大を続けております。右下のIPAさんの「情報セキュリティ10大脅威」のランキングは、みなさんもよくご覧になるかと思うんですが、2023年の脅威ランキングを抜粋させていただきました。

昨年度はサプライチェーンの弱点を悪用した攻撃が3位でしたが、今年は2位に上昇しております。その前の年も載っていたんですが、年々順位が上がってきているような傾向にあります。

多くの企業がリスクを抱えたままの状態に

こちらは弊社ＳＯＭＰＯリスクマネジメント、SRMの調査です。2022年度に登録されている、弊社が調査した対象企業・組織のアセットの統計データです。外部に公開されているアセットのリスクなのですが、この表のとおり、多くの問題のある指摘事項を検出しております。

多くの企業さまが攻撃に対してまだ対策しきれておらず、悪用されかねないリスクを抱えたままの状態になっており、未だ危機意識が高くなっていないことが、このデータからもわかるかなと思います。

弊社はPanoraysというサプライチェーンリスク評価サービスをご提供させていただいているのですが、この調査で対象としたものは、そちらのお客さまにご協力いただいたデータの中での指摘事項の一覧です。

組織におけるセキュリティ業務の定義というお話をさせていただきます。先ほど、サプライチェーンのリスクの中で、セキュリティの対策が急務であるというお話をしました。

情報セキュリティといっても業務は非常に多岐にわたり、組織も横断的に対応する内容が非常に多くなってきております。それを組織横断で、かつサプライチェーンに波及させて、抜け漏れなく効率的に対策をするのは非常に難しいことが、この表を見ていただいてもわかるかと思います。

いざという時、誰がどの業務に責任をもって対応するか

こちらの表は、IPAさんの「サイバーセキュリティ経営ガイドライン」からお借りしております。一番上が経営層が対策しなければいけない業務ライン。1つ下が戦略マネジメント層が対策しなければいけない業務ライン。そして一番下が、実務者・技術者層が対応しなければいけない実務のラインに分けて記載しております。

すべてひと連なりでセキュリティとして対応しなければならない事項なんですが、ビジネスの関わるレイヤーによって、非常に範囲が広い内容となっております。例えば経営層でしたら、デジタル・セキュリティに関しての極めて経営戦略的な視点での組織に対しての示唆が必要になります。

その下の戦略マネジメント層であれば、システム監査やセキュリティのルール、フレームワークの定義をして、組織に根づかせることが必要です。

最後に、実務者であれば実際に開発を含むでしょうし、情報システム部門さんの業務も含みますので、実装や脆弱性対策、場合によってはインシデント対応も含まれます。こちらをすべて横断的に対応するのは非常に難しく、誰がどの業務に対して責任をもって対応するかを定義するのは、極めて重要になっております。

この中で、やはりビジネスの各レイヤーにおいても、主たる業務が異なってまいります。例えば企業にとって、必要なガイドラインや規定を制定したり、アセスメントの体制を構築することは極めて大事です。

それは現場部門からしたら、ひょっとしたら面倒くさいものかもしれないです。実装部門からしたら、製品やサービスの実装・管理に目線がいきがちです。ユーザーに近い開発部門からしたら、よりお客さまが使いやすいサービスを作りたいという気持ちが非常に強いのではないでしょうか。

ただ、一定のセキリティ要件を満たさなければセキュリティ事故の原因となりますし、事故が起こればより良いサービスであっても企業ブランドのイメージ毀損、信頼を損なう原因となりかねません。リスクも非常に増大します。

その中でルール策定側、情報の実務を行っている方、開発の方で連携をしていくことが必要不可欠です。ただ、担当業務が異なります。また、すべての業務で非常に専門性が高いスキルセットが求められます。

ストレスなく効率的にセキュリティ業務を進めるには

こちらの下の表もIPAさんからいただいてきた内容なんですが、マネジメント層においても実務層においても、なかなか欲しいセキュリティの人材が集まらないというのが昨今の人材の事情です。いかにセキュリティの業務を効率化して、抜け漏れなく対応するかは、企業がより良いサービスをお客さまに提供していく上で重要な観点となります。

本セッションでは「3線モデル」とセキュリティスコアリングサービスを用いて、不足する人材をカバーしながら、いかに効率的に情報セキュリティの業務を推進するか。経営者層さまと現場のみなさまが、いかにストレスなく業務を推進していけるかというヒントをお伝えします。

リスクの管理と統制活動に役立つ「3線モデル」

少し前置きが長くなったんですが、情報セキュリティだけにいらっしゃる方からすると、3線モデルというお話はあまり耳なじみがないかもしれません。簡単にお話しさせていただくと、もともとは金融の監査で使われるような、内部監査人協会で使われている・定義されている言葉です。

リスクの管理と統制活動における代表的なフレームワークで、多くの金融機関で採用されています。リスクマネジメントがディフェンス・防御と価値の保全だけではなく、目標の達成と価値の創造に貢献することを目標としたフレームワークになっています。

ITの現場ですと、どうしても現場部門の方が実装して管理して、場合によってはフレームワークも考えて、すべて整理してマネジメント層に伝えるような考え方が、まだ非常に多いのではないかと思います。

この考え方では、第1線を実際の情シスさまや開発部門さまといった現場の事業部門ととらえ、第2線の方を本社部門、ルールを策定したりフレームワークを当てはめていく部門と考えます。第3線は監査の方、外部のところですね。

そして1線と2線が連携をして、マネジメントレイヤーの経営層やCISO、セキュリティの責任者に伝えていく。セキュリティで考えると、そのようなフレームワークになっていきます。

現場の事業部門と本社部門の役割分担

第3線の話は監査のお話になるので、今回は割愛させていただいて、現場という観点で第1線と第2線、経営層という観点で統治機構のところのお話をさせていただきます。

先ほどお話しさせていただいたものを簡単に図示いたしました。この第1線と言われているところが、アプリケーションやサービスの開発部門、情報システム部門、CSIRTさん、SOCさん。その他、現場業務を含む方々と定義します。

第2線が情報セキュリティ、コンプライアンス、ガバナンス。リスクを定義されてセキュリティのアンケート・調査表を送られたり、社内でISMSの審査をされているような方々が第2線の方々です。

第3線は監査の業務で、その上に統括する経営層、セキュリティ責任者の方々がおられます。

第1線、第2線、第3線の中で、第1線に近いほどより技術に近い世界になってまいります。第2線、第3線になるにつれて、制度に近いお話になります。また第1線の現場であればより実務に近い作業が増えてまいりますし、そこから管理職、上位に上がってCISOさん・経営者さんとなるにつれて、非常に経営判断に近い世界に入ってきます。

サイバーセキュリティには、IT面の業務と非IT面の業務があると思うんですけれど、このフレームワークを活用することによって、双方での対策を考慮して、漏れ・偏り・無駄のない業務対策を推進していけるような考え方になります。

ここは少し細かいので簡単にお話しさせていただくと、第1線の方はいわゆる事業の実働部隊です。ITやセキュリティ部門、CSIRT、SOC、情シス部門をすべて含むようなみなさまです。

第2線はガイドラインの規定、策定、アセスメント体制構築に関わるような方々です。セキュリティ責任者は、それらを包括するサイバーセキュリティの戦略設計、リスク設計、その改善を目指したりプロセスの設計などを行います。また、ユーザー・経営者・管理者すべてに対してベストプラクティスを提供する責任を持つところを意識しております。

各レイヤーの担当者が感じている悩み

やはり業務を行っていく上で、どうしても各レイヤーでの悩みは尽きないと思います。ここから各レイヤーごとのお悩みについて、簡単に私なりに書かせていただきました。私自身、1線で業務をしている人間でもあります。この中で私のような現場のエンジニアが気にすることは、やはり技術の実務者です。

また、その開発であればDevSecOpsのようなところに関わったりもしますし、場合によっては社内のセキュリティネットワークの責任者の方もおられると思います。事故は起きてほしくないんですけど、インシデント発生時には現場対応者になるかと思います。

その業務を実施する中で取り扱う情報や欲しい情報は、やはり実際の現場の生のデータじゃないかなと思います。製品やサービスの設計、設定情報、使われているテクノロジーの脆弱性の情報、またそれらに関して出てくるログの情報を取り扱っているのが、この1線のみなさんの情報ではないかと思います。

次に2線のお話をさせていただきます。2線のみなさまはルールを定めたり、調査表を送る。サービスや取引先、社内などのいろいろなところにアンケートを送って、それを集めて正しくルールが運用されているかを確認します。

みなさんが担当される領域はガイドラインや規定を定められる部分。ただITの実装業務は原則、あまり対応されない方が多いのかなと思います。定めた方式に準拠されているかという状況を確認されることが多いと思います。

この中で取り扱う情報、欲しい情報は、今使っているガイドラインのフレームワークが正しいのか、最新なのか、改訂状況がないのか。また、それらに対して自分たちが作ったフレームワークが社内で正しく対応されているか。委託先・取引先が正しく運用されているかということが、非常に気になっているのではないかと思います。

経営者層が専門的な情報を理解し判断する難しさ

次がさらに上のレイヤーの経営者層、場合によってはCISO・CSOさんだったりするかもしれません。ここの方々は担当される領域が少し経営に近いところになってまいります。セキュリティプログラムの設計をされたり、ディザスターリカバリーの計画を作成されたり。または各ステークホルダーに対して、サイバーセキュリティのベストプラクティスに関する教育をされていらっしゃるかもしれないです。

その中で取り扱う情報と欲しい情報に、乖離が出てくるのではないかと思います。責任者の方なので、実際のセキュリティの実務、1線の実務であったり2線の収集情報を、ご自身で直接触られているわけではない。なので、ITの実務情報が直接上がってくるケースが多いと思います。

また、非ITの制度的な対応状況も上がってくるかもしれません。それらを見た上で、その情報を経営情報に変換していく必要があります。

セキュリティの業務は各責任者が連携し合わなければ進めることができないんですが、第1線から経営判断に近いみなさんに情報を渡すとすると、非常にIT要素の強い情報がどうしても多くなってしまいます。実際に出てくる情報は製品やサービスの設計・設定、脆弱性やログ、インシデントの対応状況です。

ただ、そのIT要素の強いものをそのまま渡してしまっても、現場ではない方は理解できないので、一定加工する必要があるかと思います。経営層からしたら、もらったものに対して投資の判断、経営判断を渡す。最終的なインシデントハンドリングの回答をされるかもしれません。

第2線からすると、ガイドラインの対応状況をより上の経営の方にお渡しすることになると思います。それを見て経営の方はガイドラインの把握をしたり、さらに改修したほうがいいというアドバイスや対応状況のレビューなどをされていると思います。

その中で各レイヤーの連結が必要というお話をさせていただいたんですが、どうしても主たる業務も連結する部分も異なるので、情報の粒度にムラとばらつきが出てきてしまうと思います。

現場からのレポートは経営層にとっては「実務過ぎてよくわからん」

ここが本日お話ししたいお悩みのところです。経営の方と現場の方で情報の乖離が出てきて、そこのつなぎがうまくできたら業務がより効率的に推進できるんじゃないかと。

経営層の方、セキュリティの責任者の方からすると……やはりITの現場の方もそれなりに加工して、読みやすいように経営の方に情報を渡しているつもりではあるんです。ただ、僕もよく言われるんですけど「お前の書いたレポートは実務すぎてよくわからん」みたいなことを言われたり。

やはり非ITの、過去はひょっとしたらITの現場にいらっしゃったかもしれないんですけど、経営のラインに上がられている方はやはり現場から少し離れている方が多いと思うので、最新の設定や細かい情報を渡されても、正直読むのがとても難しいと思います。

また実務情報・経営情報のすべての通過地点なので、ここですべての情報をご自身のレイヤーの中で噛み砕いて、横にも上にも下にもすべて流通させることが必要で、非常にコミュニケーションの難しい立場におられるのではないかなと思います。

次が1線のみなさんなんですが、ここは私が、いつも非常に悩んでいるところです。やはりITの実務者なので、どうしても出てくる情報が現場の製品や技術で、ログの情報は、やはり事実というか製品のテクノロジーの情報になってしまいます。

当人はそういう仕事をしているので詳しいんですけれど、それを制度や経営といった違うレイヤーの方にそのままお渡しすると「何を言ってるかよくわからない」と言われてしまうことがあって。

「脆弱性が出たの？　じゃあ何？」とか、「こういう技術的課題がある」と伝えても、「それは何の問題があるの？　どうしたらいいの？」と言われてしまうんですね。やはり、ただ技術だけをやっている人間からすると、その先に入っていくのはなかなか難しいなと感じることが非常によくあります。

また投資の判断と実務、必要な物事、ガイドライン……いろいろなところで本当は現場としてはやりたいこと、ただルールとしては枠で収まってほしいこと、経営としては収めてほしいことがあると思います。「本当はこれを対策しないと非常にまずいんだよね、どうしよう」と悩んだり、苦労されることが多いんじゃないかと思います。

立場が違っても意思疎通しやすい「ちょうどいい情報」とは

第2線の方からすると、やはりガイドラインはルールなので、守ってもらわなければいけないんですけれど、IT実務の方ではないので必ずしも詳しくないんじゃないかなと思います。

守ってほしいけど、「本当に守らせていいのか、守らせなくていいのか」という微妙なさじ加減は難しい領域ではないかなと思います。またこの範囲は非常に多岐にわたって膨大になりがちです。

この中で求められるのはちょうどいい粒度の情報、意思疎通が図れる程度の情報ではないのかなと考えています。手前みそなんですけど、そのちょうどいい情報というのが今回お話しさせていただきたい製品カテゴリーの、セキュリティスコアリングサービスになります。

急に製品の話になるんですけれど、こちらが本日お話しさせていただきたい「Panorays」という製品のご案内です。この製品はグループ会社・サプライヤー・M&A企業などのセキュリティ対策状況を、可視化・管理・スコアリングするプラットフォームです。機能が大きく2つに分かれておりまして、外部評価・内部評価の2つの機能がございます。

外部評価はPanoraysのエンジンを用いて、外部からお客さまがお持ちのデジタル資産に対してアセスメントを行って、スコア化をするものです。また内部評価はお客さまご自身からサプライヤーさまに対して調査表やアンケートを作って、それらを送って回答していただき、スコア化するサービスです。外部からの180度、内部からの180度を合わせて、360度サプライチェーンの企業を評価するという製品です。

外部評価の具体的な画面なんですが、各種サイバーリスクの解説や改善対策、CVE情報が簡単にサマリーとして出てきて、スコアが出てきます。グローバルの同業他社だとどれぐらいのレンジに位置するのか、スコアが上がったか・下がったかを簡単に可視化できます。

また、これらの指標でネットワークおよびIT、アプリケーション、ヒューマンの多くの要素、100以上の項目でサイバーリスクの評価をすることが可能です。

取引先やグループ会社のサイバーリスクを評価可能

内部評価なんですが、お客さまご自身にセキュリティの調査表を作成していただいて、Panoraysの基盤上で対象の取引先さま、グループ会社さまに調査表をお送りすることが可能です。お客さまご自身で作っていただくことも可能ですし、製品の標準的なテンプレートとして業界ガイドラインやNISTのテンプレートもすでに標準として準拠しております。

言語も英語と日本語に対応しておりますので、海外の拠点や取引先さまに対してもご利用いただくことが可能です。従来Excelで個別に送付・集計していたことをすべて、PanoraysのGUI上でコントロールすることができます。

外部評価と内部評価を使って総合的にサイバーリスクのレーティングスコア化をして、スコアに応じて「Excellent」「Good」「Bad」「Poor」「Fair」で評価します。その企業さまがどういう状況なのかを簡単に可視化することが可能です。

また企業さまに応じて極めて重要なサプライヤーさん、そうではないサプライヤーさんというのはいらっしゃると思います。その定義をセットすることによって、スコアと掛け合わせて、ビジネスインパクトのヒートマップを簡単に表示できます。

例えば赤いBadのところに位置するサプライヤーさんとは取引ができないので、もっと良い状況になるように改善してください、というような。Badにどれぐらいいて、Poorにどれぐらいいるかという管理を非常に簡単に行うことができます。

情報共有からリスク評価まで一元管理できる「Panorays」

最後に、Panoraysを使ってお客さまがどうやってハッピーになるかというお話です。IT要素の強い第1線の方からすると、どうやって情報を加工してほかのレイヤーの方に伝えていこうかとお悩みになることが多かったと思います。

Panoraysを使ってアセスメントをするだけで、そこの状況が簡単に可視化できて、サマリーが出て点数が出ますので、簡単に情報を共有できます。

第2線の方からするとアンケートをPanorays上ですべて送付できるので、簡単に状況の可視化ができます。フレームワークを一度作ったらPanoraysの中に入れておけば、繰り返し簡単に状況を確認できます。そのスコアを総合的に360度、より上位層の経営者・CISOの方が確認をすれば、よりちょうどいい情報というのをPanoraysの中で確認できます。

悩みの解消ポイントなんですけれども、経営者層・セキュリティの責任者さまからすると、サマリーになったスコアを読めばもう全体感がすぐに把握できます。1線の方からすると、アセスメントの結果が自動的にスコア化されるため、内容を報告用に噛み砕いて、よく技術の方が嫌う「仕事のための仕事」「報告のための報告書」を作る手間を非常に減らすことができます。

また、アセスメントの根拠も中に記載されているので、もし本当に内容を確認したければ、その中をご覧になっていただければよいかなと思います。

2線の方からすると制定したフレームワークを簡単にステークホルダーに展開でき、結果はサマリーにしてスコア化できるので、こちらも「報告のための報告書」を作る必要がなくなります。

各ステークホルダー間でちょうどいい粒度の情報を融通し合えるのがこのセキュリティスコアリングサービスで、外部評価と内部評価をすべて持っていて一元的に管理できるのはPanoraysだけです。

Panoraysを使って、経営者さまと現場のセキュリティ業務の平準化、セキュリティの強靭化に寄与していければと考えております。本日のお話はこれにて以上とさせていただきます。ありがとうございました。