DX時代の情報セキュリティマネジメントとは？

発行日：2021年10月5日

「DX」という言葉が世を席巻してから、かなりの時間が経ちます。企業はその進化したテクノロジーを利用して、企業のビジネスモデルに寄与しようと様々な投資を行ってきました。

その流れの中、頭を抱えている方々もいます。企業のセキュリティ/コンプライアンスを統括する組織の方々もそうではないでしょうか。

テクノロジーは常に変化しています。企業は、その提供価値を向上させるため、新しい製品とサービスを提供するために、ビジネスプロセスを合理化し、常に新しいテクノロジーを採用しています。しかし、組織が新しい技術を採用する瞬間、それは組織が新たな脅威への対応が始まる瞬間でもあります。

新しい技術を導入する際に、必ず、それらがもたらす新たなリスクを認識し、管理しなければなりません。

導入前には、その技術を利用することによるセキュリティリスクは十分に吟味されて導入すると思います。しかし、意外と見落としがちなのが、導入した後のこと。怖いのは、新しい技術を導入した後に、どのようなセキュリティイシューが発生しているか理解せずに、運用を続けていることです。

もちろん、新しい技術を導入するからといって、セキュリティマネジメントとして着目する観点は、これまでのものとそこまで大きく変わるものではありません。

ただ、お伝えしたいことは、「新しい技術を導入した場合には、その導入後に新たなセキュリティイシューが発生していないか可視化することが特に大切である」ということです。

▼ “情報セキュリティリスク”を分解する

”情報セキュリティリスク”には、様々な要素が含まれます。そのリスクの一部を以下に列挙します。

1. 外部からの攻撃リスク

組織のネットワークやインフラストラクチャは、常に外部からの攻撃リスクに曝されています。これらのリスクには、ハッキング、フィッシングやその他の攻撃が含まれます。

1. 誤ったシステムの設定/構成から生じるリスク

誤ったシステムの設定/構成は、攻撃者がネットワークへの侵入を容易にする、また、外部からデータへの不正アクセスを許可する可能性があります。「クラウドサービスに対して誤った設定を行ってしまい、機密情報がオープンインターネットに公開されてしまっていた」というニュースはよく耳にします。

1. コンプライアンス遵守が崩れるリスク

多くの場合、新しい技術を採用すると、これまで遵守できていたコンプライアンスへ新たな考慮事項が生じることになります。例えば、データの保存場所/ルールや運用管理を迫られることなどが挙げられます。

特に、利用が爆発的に伸びてきているパブリッククラウド環境に関しては、クラウド事業者との責任分界をどのようにするのかなど、これまでのオンプレミス環境とは異なった視点が必要で、リスクを看過しがちです。

どうでしょうか。これらの項目は、既存のセキュリティ運用を考える際にも、考慮しなければならないリスクですが、新しいテクノロジーを導入した場合の考慮事項にもなってきます。

▼導入後に新たなセキュリティイシューが発生していないか可視化する

新たなセキュリティイシューが発生していないか可視化する方法は、様々存在します。 “脆弱性診断”、“ペネトレーションテスト”、“レッドチームオペレーション”が代表的なソリューションになるでしょうか。

ただ、どうしてもこれらの取り組みはお金や人手がかかることが多く、定期的に実施することが難しく、また、スキルの持った人員の確保が難しいといったデメリットも存在します。

これらのデメリットを解消すべく、近年、企業に導入が進んできた「セキュリティ リスク レイティング」はご存じでしょうか。

このソリューションは、過去の侵害事案を分析し、侵害にあった組織がその時に抱えていたセキュリティの脆弱なポイントをリスト化しています。例えば、“証明書の期限が切れていた”、“不要なポートが開いていた”、“サポート切れのOSを利用していた”などです。

更に、そのリストを元に、対象組織が現在、そのリストのどの脆弱なポイントをいくつ抱えているのかを自動的に検索、お客様に提供します。お客様は、Web画面を確認するだけで、自社にどのようなセキュリティ的に脆弱なポイントが存在するか把握することが可能になり、将来的な侵害発生に対策を打つことができます。

つまり、セキュリティ リスク レイティングを利用すると、新たなテクノロジーを導入する前と後で、セキュリティ侵害に直結する脆弱なポイントに変化がないか、確認することが可能になります。

SecurityScorecardでは、その脆弱なポイントを100項目以上に渡って監視、セキュリティイシューが確認された場合は、ダッシュボード上で確認、また、メールなどで管理者に対して通知することが可能です。

その対象は、ネットワーク/エンドポイント/アプリケーションと多岐に渡ります。

以下に、ネットワークに関して確認することができる項目一覧を例示します。

また、SecurityScorecardは、パブリッククラウド環境で確認されるセキュリティイシューについても、力を入れています。日次数百万のパブリッククラウド環境のIPアドレスに対してスキャニングを行い、設定ミス（不必要に開けてしまっているポートや稼働しているサービス）などを的確にあぶり出します。

SecurityScorecardが提供する「セキュリティ リスク レイティング」を利用することで、新しいテクノロジーの導入後も、引き続き、組織がセキュアな状態を適切に保てているかを効率的に確認することが可能です。

まさしく、DX時代にふさわしいセキュリティソリューションではないでしょうか。

他の人気ブログ

• 【事例から知る】 SecurityScorecard の「サプライチェーン リスク マネジメント」への活用
• 従来の取引先のライフサイクル マネジメントには足りない『サプライチェーン リスク マネジメント』を実現するための要素とは？
• 取引先企業のリスク管理における3つの課題およびその解決方法
• セキュリティ投資の効果測定で検討すべき20の評価基準
• Why SecurityScorecard？ SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
• 10項目のセキュリティ リスク マネジメントに関する考慮事項