IPAインタビュー PART3 ~「企業のCISO等やセキュリティ対策推進に関する実態調査」について②、プラクティス集~
IPA インタビュー「CISOの役割とプラクティス集」の第三回目は、『「企業のCISO等やセキュリティ対策推進に関する実態調査」について②(企業/有識者インタビュー)、プラクティス集』をお届けします。
■企業インタビューについて
(半貫)
プラクティスをつくるために、その企業の課題や取り組みについてお伺いしました。テーマは大きく3つあり、「リスクの対応」「PDCAをどう回しているか」「情報共有をどのようにやっているか」です。
「企業インタビュー調査の概要」 ※報告書より抜粋
今回、大手製造業(グローバルに事業を展開)にもインタビューをしています。
「リスクの対応」については、グループのガバナンスをどういう風に対応しているかについてもお伺いしました。サイバーセキュリティに関しては、委員会を設置していて、定期的にグローバル会議を行い、そこでインシデントや対策の状況を報告しているそうです。また、それは、経営層の方にも認識してもらっているとのことです。また、もし事故が発生した場合は、個別に報告させるなど、かなりガバナンスを効かせてセキュリティの推進を行っています。その一方、ある程度の裁量を地域のセキュリティの長に与えているとのことでした。
PDCAについては、「C」「A」の部分が重要であり、またCの手段として演習訓練が重要ということを想定してインタビューを行いました。
情報共有については、「ISAC (Information Sharing and Analysis Center)」の活動についても伺いました。セキュリティの有効な情報について共有できているかを伺ったのですが、国内のISACはたちあがったばかりでUSのISACを活用しているということでした。
■ISAC (I nformation Sharing and Analysis Center ) とは
(小川)
ISACとは、個々の業界の企業が集まって脆弱性や攻撃、インシデントに関する情報を共有するために設立されたものです。アメリカでは、連邦政府の方から指示があり設立されています。日本でも、現状は10程度のISACがたちあがっています。
「セキュリティは競争領域じゃない、情報を共有し関係各社のみんなで対策を強化していってほしい」
小川隆一 グループリーダー
グローバルなビジネスを行う業界では、USのISACの情報が早くて有益という意見がありました。自動車業界団体の中でも情報共有していく取り組みはこれから重要だと思います。セキュリティは競争領域ではありません。それは自動車業界でも同じことだと思います。差別化を図るものではないですからね。業界全体がセキュリティに強くないといけないと思います。
■7社の企業インタビューでの印象的なところ
(小川)
状況がかなり違うが工夫の仕方はいろいろあり、「苦労されているな」という感じです。
(半貫)
印象的なこととしては、情報を共有するためには主体的に自分から情報を出していかないといけない、『ギブアンドテイク』だということです。団体に所属したりしていかに有効な情報をもらうかという点においては、信頼関係が重要というのは、共通した認識だと思います。
(小川)
IPAや経産省が「情報共有しましょう」と言っただけでそうなることはありません。個人的な信頼関係の上に成り立ちます。今回の調査に限りませんが、個人的な信頼やつながりは大事で、あの人には伝わらないと思われたら情報共有はできません。それはどの業界も一緒ですね。
インタビューに協力いただく企業の名前は出せませんので、事例を具体的に書けない点があるのが悩ましいところです。どちらかいうと手続き、例えば、上司は何をしたか、どういうコミュニケーションをとったか、というように組織がやるべきことを書いてあげると、報告書の内容を理解してもらえて、業務的な応用が利くのかなと思います。「〇〇OSの〇〇の脆弱性」という例を挙げることでかえって他人事と捉えられることもありますので、報告書に記載する粒度は難しいですね。
■有識者インタビューについて
(半貫)
冒頭で話しましたが、CISOへのインタビューで、CISOの役割を定義するところから始めましたよ、ということが印象的でした。また、グローバルのマネジメントを意識されていて、欧米やアジアと意識を合わせること(コミュニケーション)に注力したそうです。それがCISOの仕事だ、と仰っていました。グローバル企業なので、ちょっと特殊ではありますが。
「有識者インタビュー調査の概要」 ※報告書より抜粋
(小川)
PDCAサイクルに関しては、CでつまずいてAをやらないということがありますので、PDCAサイクルをどう回すかを伺ったのです。インタビューしたCISOの一人は、やらされる演習ではなく参加する演習がいい、演習に皆さんを巻き込んで現場の人たちが体験しそうなものを演習に入れると良い、と仰っていました。
(半貫)
自分たちのことと考えてもらうためにどうするか、という観点は、企業インタビューでも話に挙がりました。ある企業では、毎朝セキュリティに関する記事を発表して、それについて気づいたことを共有しているそうで、そうやって自分たちのことにしていくことで、いつの間にかセキュリティ対策になっていく状態を作り上げていく、ということが大事なんだということでした。
■工場のサイバーセキュリティ対策プラクティス
(半貫)
ここまでの話に挙がっていないプラクティス集第2版のその他のポイントとしては、工場のセキュリティ対策のテーマでプラクティスを作成しています。まずは工場の中の責任分界点、システム的にはネットワーク境界を決めることが重要ということですね。
責任があいまいな状態になっていますとその部分が脆弱になってしまいます。分担を決めて境界をしっかりとさせることが重要ですので、最初に明確にさせましょうということを書いています。
(小川)
これは工場の事例としては最初のものですね。プラクティス集はいろんな方に見てもらって作成しています。
経営ガイドラインの検討委員会の方にも見てもらっています。アンケートでは、業種別にプラクティスを書いてほしいという意見もありましたね。事例はそのとおり実践するというより、自分の会社ならどうするかを考えてください、と書いていますので、とりあえずは業種を気にせず読んでいただきたいと思います。
■プラクティス集の今後
(小川)
プラクティス集は今後も続いていくと思いますが、今年度は調査とフィードバックを行っていきます。「どういう時にプラクティス集を使いますか」と聞くと、「環境が変わったときに見ます」という回答があります。今でしたらテレワークへの移行ですね。現在のプラクティス集にはありませんのでそういった形で今後も増えていくと思います。
(半貫)
ユーザ企業が主体的にプラクティスを作れるといいのではないかと思います。ノウハウとして持っている企業は多いはずなのでそれを共有する仕組みがあると良いと思います。それをサポートするのがIPAの役割かと思っていますが、壮大な話ではありますね。
≪参考URL≫
企業のCISO等やセキュリティ対策推進に関する実態調査報告書 (2020年3月25日) [IPA]
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版 (2020年6月9日) [IPA]
サイバーセキュリティ経営ガイドラインの概要 (v2:2017年11月16日) [METI]
「企業のCISOやCSIRTに関する実態調査2017」報告書について (2017年11月16日) [IPA]