組織の成熟度の考え方
セキュリティを強化するためには、組織の成熟度を高めていく必要があります。成熟度とは、理想と現実のギャップを埋めるために、段階に応じた改善や改革を行っていくための指標です。ただし、成熟度は従業員の入れ替わりやルールの変更などにより変動するということを理解し、取り組むことが重要です。
Point① 強いセキュリティ組織とは
セキュリティの成熟度が上がっている状態とはどのようなものでしょうか?それは、決められたルールが守られ行動できている状態、それぞれの役割を認識し実行できている状態です。
- 社内の情報セキュリティを統括し、セキュリティの推進、体制の構築をする。
- ビジネスの視点でセキュリティ対策や事故発生時の影響を検討する。
- 組織の方針や規程について承認をする。または、承認者へ権限譲渡をする。
- 自社の事業計画に合わせたセキュリティ戦略を策定する。
- リスク分析や資産管理を通してセキュリティ対応策を考え、実行し、評価する。
- セキュリティ上の課題を発見し対処する。
- セキュリティ機器類の導入計画や設計を行う。
- 現在導入されている機器の有効性の評価を行う。
- システム周りの保守や監視を行う。
Point② 成熟度は下がることもあることを認識
セキュリティの成熟度は従業員の変化や規程などの変化により、下がるケースがあります。下がることを考慮しながらも、PDCAのサイクルを回しながら長期の視点で、現状理解と目指すべき理想の姿のギャップを埋めていく活動が求められます。
また、セキュリティに関する事項をたまにしか行わない場合も、徐々に成熟度が下がるケースがあります。定期的な情報共有等を継続して行くことが重要です。
Point③ 自分たちが目指すべき姿と現状のギャップを把握
成熟度を考えるためにも、自分達が何を目指しているのかを定めることは重要です。理想の状態と現状のギャップ、優先度などを考慮した対応をして行くことが重要です。3日目に紹介したサイバーセキュリティフレームワークでは、プロファイルという考えがあります。
フレームワークプロファイル (プロファイル / Profile)
プロファイルは自組織のビジネス上の要求事項、リスクの許容度、割当て可能なリソース等から目標となるプロファイルを作成し、ギャップ分析を行うことで優先順位付けされた改善計画を立てることができます。プロファイルの雛形はありませんが、コアのサブカテゴリーに関して、現在の状態(AsIs)と目指す目標の状態(ToBe)のギャップを洗い出し、費用対効果や優先順位を決めていくことができます。
出典: IPA(独立行政法人情報処理推進機構)
「重要インフラのサイバーセキュリティを 改善するためのフレームワーク」 をもとに作成
https://www.ipa.go.jp/files/000071204.pdf
Point④ 範囲や測定方法を明確にする
現状や理想の状態を把握する際に、適用される範囲や測定方法を定めておかないと正しく状態を把握することが難しくなります。組織の成熟度を把握するためにも、計画の段階で定義しておくことが重要です。
現状
バックオフィス系基幹システム:物理デバイスとシステムの目録が作成されている
事業系システム:目録作成ができていない
確認方法
目視による物品確認 および 環境確認
あるべき姿
全環境の物理デバイスとシステムの目録が作成されている
確認方法
MDM(または同等の機能を有するもの)でのシステム一元管理