株式会社Preferred Networks CSO
高橋正和

「セキュリティ原理主義」という言葉をご存じだろうか？「セキュリティ原理主義」は、「経営よりもセキュリティが優先する」という主張で、例えば「個人情報は絶対に漏洩してはならない」、「PCは持ち出してはいけない」、「添付ファイルは暗号化すべきである」、「脆弱性はあってはならない」、「セキュリティ侵害はあってはならない」、「経営者はISMSを理解すべきである」、「国家レベルの攻撃に備えるべきである」といったところだろうか。
「セキュリティ原理主義」のアプローチは分かりやすく説明も容易なのだが、業務が非効率化し、表面的な対応に留まりやすく、結局のところコスト高で実効性の低い対策になりがちである。セキュリティ対策の現場では「セキュリティ原理主義」が機能しないことを日々実感しながら、今日のセキュリティ在り方、つまり「ポスト・セキュリティ原理主義」を模索している。本稿では、「セキュリティアーキテクチャ」、「リスクベース・セキュリティ」、「サイバーセキュリティ経営」の三つの視点から「ポスト・セキュリティ原理主義」を考察する。

「セキュリティ原理主義」の視点では、ITとセキュリティは対立的な関係にある。ITに問題があるので、セキュリティ対策が必要だという考え方で、セキュリティアーキクチャは考慮されてこなかった。しかし、クラウドファーストが現実となったIT環境において、ITとセキュリティを対立的な関係で捉えるのでは、効果的なセキュリティ対策を実装することができない。セキュリティ対策とIT推進を対立的に捉えるのではなく、ITアーキテクチャにセキュリティアーキテクチャを組み込むアプローチが必要になっている。

「ポスト・セキュリティ原理主義」の考え方のひとつに、「リスクベース・セキュリティ」という考え方がある。代表的な実装としては、SANSの”Twenty Critical Security Controls for Effective Cyber Defense”、OWASPの”OWASP Top 10"などから、優先的に対処すべきリスク項目を洗い出すという考え方がある。レジリアンスという考え方も「リスクベース・ベース」の文脈から出てくる考え方で、セキュリティ侵害を前提とし、その可能性と影響を最小限に抑えるという考え方が「ポスト」たるポイントになっている。
「リスクベース・セキュリティ」では、従来のマネジメント・サイクルの考え方を見直す必要がある。NISTのサイバーセキュリティフレームワーク（以下CSF)を例に考察すると、フレームワークコアの「特定」、「防御」はPDCAが適しているが、「検知」、「対応」については、OODAに代表される緊急対応・危機管理的なマネジメントが適している。近年のCSIRTへの注目も同じ文脈が背景にある。「リスクベース・セキュリティ」を実装するためには、複数のマネジメント・サイクルを考慮する必要がある。

「ポスト・セキュリティ原理主義」を「サイバーセキュリティ経営」という視点から考えると、経営や事業からセキュリティを考える必要があり、技術レイヤではなく事業レイヤのリスクに注目する必要がある。先に述べたSANSやOWASPを使ったリスクベースは、主に技術レイヤに対するアプローチであり、リスクベースを提唱するセキュリティ製品の多くも、「従来の対策では検出できない攻撃を検出する」など、技術レイヤのリスクを対象としており、「ポス
ト・セキュリティ原理主義」の軸としては物足りない。
しかし、経営や事業からセキュリティを考えることは容易ではなく、参考になる文献も少ない。JNSA CISO支援ワーキンググループの取り組みとして、業務執行視点で考えるセキュリティ対策をCISOハンドブック*1として2019年5月に公表している。本稿では、ご紹介にとどめるが、経営や事業からセキュリティを考える際にご参照を頂きたい。
また、2019年3月9日開催される、日本セキュリティ・マネジメント学会「公開討論会」では、「リスクマネジメントの常識と現実〜セキュリティ原理主義を超えて〜」*2をテーマに事例やデータを取り上げながら、経営視点でのセキュリティ・マネジメントについて議論する。

本稿では、「セキュリティアーキテクチャ」、「リスクベース」、「サイバーセキュリティ経営」の三つの視点から「ポスト・セキュリティ原理主義」を考察した。「ポスト・セキュリティ原理主義は」待望されているが、明確なモデルを形作るには至っていない。CISO支援ワーキンググループや、上記公開討論会を通じて議論を進めてきたいと考えている。

*1 JNSA　CISO支援WG:CISOハンドブック
　（JNSA　CISO支援ワーキンググループ）
https://www.jnsa.org/result/2018/act_ciso/

*2 第13回 JSSMセキュリティ公開討論会
（学会員以外の方もご参加いただけます）
『リスクマネジメントの常識と現実〜セキュリティ原理主義を超えて〜』
http://www.jssm.net/wp/?page_id=3741
日時：2019年3月9日（土） 10：00-17：00（受付 9:30開始）
会場：NTTコミュニケーションズ　会議室
東京都千代田区大手町2-3-1　大手町プレイスウエストタワー28F

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★西日本支部主催「NSF2019 in Kansai」を開催いたします。
日　程：2019年3月6日（水）13：00?16：40
会　場：アプローズタワー13階（大阪府大阪市北区茶屋町）
詳細・お申込みはこちら↓
https://www.jnsa.org/seminar/nsf/2019kansai/

★情報セキュリティ教育事業者連絡会（ISEPA）では、
「セキュリティ業務を担う人材のスキル可視化ガイドライン」
スキル診断トライアル募集中です！
詳しくはこちら↓
https://www.jnsa.org/isepa/outputs/research.html

★内部不正WGのインタビュー連載「日本の人事と内部不正」を掲載しました。
第13回はソニー株式会社様のインタビューです。
https://www.jnsa.org/result/soshiki/index.html

【事務局からのお知らせ】
★「Black Hat Asia 2019」
2019年3月26-29日にシンガポールで開催される「Black Hat Asia 2019」に参加される方はディスカウントコード「JNSA18」を御利用いただくと15％（S$240 ）のディスカウントが適用されます。
http://online.ubmasia.com.sg/q/1mwF9pvU6Gl5Vd22DlQZ/wv

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第155号
発信日：2019年2月8日
発　行：JNSA事務局　
*************************************