多様化するサイバー攻撃から企業の資産を守るため、さまざまな手段を講じて情報セキュリティを強化することが求められています。しかし、セキュリティ対策は多岐にわたるため、どこから手を付けてよいのか分からないと頭を悩ませている企業は決して少なくないでしょう。NRIセキュアテクノロジーズ（以下、NRIセキュア）の渡部惣と森茉莉香に、セキュリティ対策の可視化について聞きました。

セキュリティ対策を効率的に進めるには“仕分け”が重要

企業内に蓄積されている機密情報を狙った標的型攻撃、Webサーバに膨大な処理負荷を発生させ正常な稼働を妨害するDDoS攻撃、さらに、昨年大きな話題となった身代金要求型不正プログラムのランサムウェアなど、サイバー攻撃の手法は多様化し続けているのが現状です。こうしたサイバー攻撃から企業の資産を守るために必要となるのがセキュリティ対策ですが、これを導入すれば絶対安全というソリューションはないのが現実であり、さまざまな手段を講じてセキュリティを強化することが求められています。しかし、セキュリティ対策は多岐にわたるため、どこから手を付けてよいのか分からないと頭を悩ませている企業は決して少なくないでしょう。 このような状況で、まず何をすべきでしょうか。NRIセキュアの上級セキュリティコンサルタントである渡部惣は、次のようにアドバイスします。

「自社の中で、守るべきものをしっかりと定義して、それらを守るためのセキュリティ対策の全体像を洗い出す。その上で、実施できている部分とそうではない部分を仕分けしましょう、とお話しています。対策できていないところが分かれば、そこを優先するといった方向性が決められますし、やりすぎているものがあれば、思い切ってやめるということも戦略の一つです。セキュリティ対策を効率的に進めるために、この仕分けは非常に重要なプロセスだとわれわれは捉えています」

セキュリティ対策の全体像を定義し、実施状況を仕分けすることで、セキュリティを「可視化」することができれば、経営層に対しても説明しやすくなるほか、次に何を実施するべきかを検討する上でも役立つでしょう。特に現在では、セキュリティを経営課題と捉え、経営層がセキュリティ対策の推進に積極的に関与することが求められているため、ステークホルダーへの説明責任を果たすためにも、現状を可視化することは極めて重要です。

セキュリティ対策状況を網羅的に診断できるフレームワーク

NRIセキュアでは、このセキュリティ対策状況の可視化のために独自のフレームワークを構築しています。

「世の中にはさまざまなフレームワークがありますが、それぞれ目的や用途が異なっていたり、分析するための視点が違っていたりして、使いこなすことが難しい状況でした。そこで、企業にとって必要なセキュリティ対策を網羅的に実施していくために、NRIセキュアのこれまでの実績からベストだと考えたフレームワークを作り、それを基にセキュリティ対策状況を可視化するコンサルテーションを行っています」

このフレームワークを基に、NRIセキュアが新たなサービスとして無償で提供するのが「Secure SketCH」です。これは78の設問に回答すると、国内600社以上の統計データと比較した評価結果を得られます。このサービスの利点について説明するのは、「Secure SketCH」の開発に携わった、NRIセキュアのセキュリティコンサルタント森茉莉香です。

「セキュリティ対策にあたっては、マルウェア対策ソフトやファイアウォールを導入するといった技術的な側面だけでなく、従業員教育やインシデント対応チームの組成といった非システムの観点からも施策を実施しなければなりません。今回のフレームワークでは、それらを網羅的に判断できることが特長の1つになっています。また、基となったフレームワークでは約170の設問がありますが、企業のセキュリティ担当者が自己診断できるように、エッセンスを抽出し、78問にまで絞り込みました」

さらに渡部は次のように説明します。「何を実施しているかだけでなく、定期的に見直してアップデートするプロセスが確立されているか、といった対策の成熟度も重要なポイントです。Secure SketCHに組み込んだフレームワークでは、その成熟度を判断するための基準も組み込まれています」

優先順位を可視化して、重要度の高いものからセキュリティ強化対策を

「Secure SketCH」は、設問に回答すると、600社以上の統計データと比較した評価結果が算出され、得点とランク、偏差値が表示されます。これによって自社の状況を把握できるほか、セキュリティ対策の強化に向けた計画立案に役立つ機能も備えています。回答状況が見られる画面では、セキュリティコンサルタントが定義した重み付けを基に並べ替えて表示されます。この仕組みを使えば、重要度の高い順に対策を確認できるため、どの対策を優先的に実施するかを考える際に役立ちます。また、実際に対策した場合に評価がどのように変わるのかシミュレーションする機能もあり、これも対策実施の検討に利用が可能です。

将来的には、業界や売上規模別に比較・評価が可能なビューの提供や、サイバーセキュリティに関するガイドラインへの準拠状況を可視化するといった機能を有償で提供することも予定されています。またグループ全体の対策状況を一元的に把握して評価するグループ診断機能の提供も検討されています。

最後に渡部は「これまでセキュリティについてのコンサルティングを受ける機会がなかった企業の方々に、特に活用していただきたいと考えています。Secure SketCHには実際にNRIセキュアがコンサルテーションで使っているフレームワークが組み込まれており、自社の状況を迅速かつ効果的に把握できるように工夫して開発しています。ぜひこれを利用し、セキュリティ対策の現状把握や今後の方針の策定に役立ててください」と述べました。

NRIセキュアテクノロジーズの森と渡部