全1873文字
PR

 こうした既存の構成管理の在り方を見直し、ITセキュリティーの業務に直結するようステップアップさせる。それが、PwCコンサルティングのいう「サイバーセキュリティ資産管理」だ。社内のあらゆるIT資源の情報を網羅し、情報の鮮度も保ち、CSIRTが集中管理できるようにすることが重要という。

「サイバーセキュリティ資産管理」の概要
「サイバーセキュリティ資産管理」の概要
(出所:PwCコンサルティング)
[画像のクリックで拡大表示]

無駄な投資を減らすためにリスク評価を

 3つめの「サイバーセキュリティプレイブック」とは、「インシデント発生から終結までに『いつ、誰が、何を、どのように対応すべきか』を記載し、システム停止などの重要な条件について関係各所と事前合意した手順書」である。一度つくったら終わりではなく、脅威動向やシステム環境に合わせて更新し続けていくのがポイントという。

「サイバーセキュリティプレイブック」の概要
「サイバーセキュリティプレイブック」の概要
(出所:PwCコンサルティング)
[画像のクリックで拡大表示]

 最後に挙げた「リスクスコアの算出フレームワーク」とは、テクノロジーやガバナンスなどの性質の異なる施策や検討課題をリスクとして数値化して比較することで、セキュリティー対策の不要な投資をなくし、必要な部分に手厚く投資できるようにする取り組みである。ユーザー企業の「CSIRTにおけるセキュリティー対策の投資計画には、効果の乏しい施策が散見される」(辻ディレクター)という実態が背景にある。

 サイバー攻撃の複雑化に伴って近年のセキュリティー対策の製品やサービスは多様化している。ただ、それらを活用して情報漏洩などの被害を最小限に抑える鍵を握るのはやはり「人」でありその集まりである「組織」だ。CSIRTの力を引き出すには十分な権限を与え、運用体制を強化できる資源を投入していく必要がありそうだ。