リスクアセスメントをしているのに「うちは安全なの?」に情シスが口ごもる問題:ISO 27001の限界を補う施策を紹介
ISO/IEC 27001を導入しているものの、「自社のセキュリティ水準」を明確に答えられないという声がある。その背景には、実効性や対応力を可視化しにくいという課題がある。ではどうすればいいのか。
情報システム部門(以下、情シス)の会議室では、こんな会話が起きがちだ。「今年度のリスクアセスメントが完了し、管理策の対応率は昨年比で15%改善しています」「それで、うちは安全なの?」「対応済みの管理策については一定の効果が期待できます」「安全でないケースもあるということ?」――。
この沈黙は、担当者の準備不足でも知識不足でもない。情報セキュリティマネジメントシステム(ISMS)に関する国際標準規格「ISO/IEC 27001」(以下、ISO 27001)に基づくリスクアセスメントを堅実に実施している情シスほど、この問いに詰まりやすい。なぜアセスメントをするほど答えにくくなるのか。その構造を整理する。
アセスメントすればするほど答えに窮する理由
ISO 27001のリスクアセスメントが「安全かどうか」という問いに答えにくい理由は、その設計思想と実務上の運用のされ方にある。
資産起点のアプローチと管理策への対応
ISO 27001のリスクアセスメントは、「資産を洗い出し、それに対する脅威と脆弱(ぜいじゃく)性を評価し、リスクに対して管理策を適用する」という流れが基本となる。附属書Aに定められた93項目(2022年版)の管理策への対応が、リスク処理の実務上の軸になる。
このアプローチは体系的で、セキュリティ管理の基礎を整えるうえでは有効だ。ガバナンス体制の構築、ルールの明文化、第三者認証による信頼の可視化といった点では、ISO 27001は情シスにとって重要な枠組みである。
管理策の対応作業が積み上がるが、成熟度は把握しにくい
このアプローチでは「やればやるほど作業量が増える」という構造が生まれやすい点が課題となる。93の管理策は網羅的であるがゆえに、リソースが限られた情シスにとっては優先度を付ける判断が難しくなりがちだ。ISO 27001はリスクベースで優先順位を決める設計ではあるものの、実務上はその判断軸を明確に運用するのが容易ではない。
さらに、管理策の対応状況を積み上げても、「自社のセキュリティ対策が全体としてどのレベルにあるか」を定量的・比較可能な形で示す成熟度モデルは明確には提供されていない。対応率が上がることと、セキュリティの強度がそのまま向上することは、必ずしも一致しない。
現実の脅威は「防げる前提」だけでは捉えきれない
事前対策の網羅性を高めることは重要だが、それだけでは現実の脅威環境に十分に対応できるとは限らない。
事前対策に重心が置かれやすいことによる死角
ISO 27001は、インシデント対応やログ監視、事業継続といった検知・対応・復旧に関する管理策も含んでいる。しかし、リスクアセスメントや管理策対応の運用においては、「攻撃される前に何を整えるか」という事前対策に重心が置かれやすい傾向がある。
現実の脅威は、標的型攻撃、ランサムウェア、サプライチェーン経由の侵入など高度化しており、「防御によって完全に遮断できる」という前提は成立しにくい状況になっている。
検知・対応・復旧は「評価軸」として扱われにくい
侵入されることを前提にしたとき、重要になるのは「いかに早く気づき、いかに早く対処し、いかに早く復旧できるか」という能力である。ISO 27001にもこれらに対応する管理策は含まれているが、リスクアセスメントの中でそれらを成熟度として評価する明示的な枠組みは強くは定義されていない。
その結果として、「管理策は整っているが、実際に侵入されたときの対応が組織として十分に整理されていない」といった状況が生まれやすい。事前対策だけでは、「安全かどうか」という問いに答えるための軸が不足しやすい。
NIST CSFが加える視点:評価と対話のためのフレームワーク
NIST(米国国立標準技術研究所)のCSF(サイバーセキュリティフレームワーク)は、ISO 27001とは異なり、サイバーセキュリティ対策の全体像を評価し、組織内外で共有するための枠組みを提供する。
6つのコア機能で全体像を整理する
NIST CSFは「統治」(Govern)、「識別」(Identify)、「防御」(Protect)、「検知」(Detect)、「対応」(Respond)、「復旧」(Recover)の6つの機能で構成されている。
これにより、事前対策に加えて、検知・対応・復旧といった攻撃後のフェーズも含めた形で、サイバーセキュリティ対策の全体像を整理・評価することができる。
ISO 27001との役割分担
NIST CSFはISO 27001の代替ではなく補完する関係にある。ISO 27001がマネジメントシステムとしてガバナンスやルールの基盤を提供するのに対し、NIST CSFは対策の全体像や成熟度を整理し、評価・対話するためのフレームワークとして機能する。
実際、ISO 27001の認証を取得している組織は、NIST CSFの多くの要素をすでにカバーしているケースも多い。既存の取り組みをCSFの枠組みにマッピングすることで、抜け漏れや偏りを可視化できる。
ティア評価とプロファイルが「答えられる言語」を作る
NIST CSFが情シスの実務に与える価値の1つは、経営層と対話するための共通言語を提供することにある。
ティア評価で「今どこにいるか」を表す
NIST CSFには「ティア」(Tier)と呼ばれる成熟度評価の枠組みがある。ティア1(部分的)、ティア2(リスク情報に基づく)、ティア3(反復可能)、ティア4(適応的)の4段階で、組織の成熟度を示すことができる。
この枠組みを用いることで、「現在はティア2であり、次年度は検知と対応の強化によってティア3を目指す」といった形で、現状と目標を簡潔に伝えられる。管理策の対応率のみを示すよりも、意思決定に資する説明になる。
プロファイルで優先度の根拠を示す
「プロファイル」(Profile)は、現状と目標のギャップを可視化するための枠組みである。6つの機能ごとに比較することで、「防御は整備されているが、検知と復旧が相対的に弱い」といった優先度を説明できる。
これにより、「なぜこの投資が必要なのか」を具体的に説明する材料が得られる。リスクアセスメントの結果を、対策の優先順位や予算の根拠に結び付けやすくなる。
事前対策と事後対策、両方そろって初めて答えられる
「安全かどうか」という問いに答えるためには、事前対策の基盤と、検知・対応・復旧を含めた全体としての成熟度、この両方を踏まえる必要がある。
ISO 27001を否定する必要はない。ただし、管理策の対応状況だけでは「安全かどうか」を十分に説明することは難しい。侵入を前提とした対応力まで含めて評価して初めて、この問いに現実的に向き合うことができる。
最初の一歩として、NIST CSFのティア評価を用いて、検知・対応・復旧の現状を把握するところから始めるとよい。すべてを網羅する必要はなく、ISO 27001で整えた基盤に対して、CSFの視点を重ねるだけでも十分な効果がある。
「リスクアセスメントをやっているのに答えられない」という状況は、担当者個人の問題ではない。フレームワークの特性によって生じる構造的な課題である。その特性を理解し、補完する手段を持つことが、説明できる情シスになるための第一歩となる。
Copyright © ITmedia, Inc. All Rights Reserved.