【第三回】実践に学ぶ!サプライチェーンリスク 統合的ソフトウェア脆弱性対策の基本
サプライチェーンリスク管理において、ソフトウェア脆弱性対策の重要性は高まっています。最終回となる今回は、脆弱性対策に欠かすことのできない組織的な取り組みについて解説します。
今高まる、組織的な脆弱性対策の重要性
脆弱性対策においては、今回取り上げる「組織としての取り組み」が非常に重要です。
セキュリティ管理・統括組織が効率的に資産を防御するためには、ビジネスの主体である事業側が主体となってリスクを判断し、優先度を把握しておくことが欠かせません。セキュリティ統括組織はリスク管理やセキュリティ技術の専門家として、事業推進部門を主体とした組織的全体の動きを支援することができれば、組織全体として有効な防御ができるようになるでしょう。
さらに、昨今ではデジタル事業の立ち上げなどに際し、事業側はアジャイルな事業企画・開発を必要としています。これはとりもなおさず、社内ITの利用において高い柔軟性が求められることを意味します。セキュリティを担保しつつ柔軟性を高めるためには、利用者である従業員一人ひとりのセキュリティ・リテラシーと意識の向上が必要です。
今回は、企業が一枚岩になってサイバーセキュリティに取り組むための3つのポイントをご紹介します。
「全員参加型セキュリティ」で脆弱性を制する、3つのポイント
① 事業部とセキュリティ組織がタッグを組んで、サプライチェーンを守る事業推進部門の具体的な取り組みとして、ソフトウェア脆弱性そのものから一歩引いて視野を拡大し、まずサプライチェーンの可視化に取り組むことを当社では実践しています。
事業規模にもよりますが、一般的に企業が事業展開するにあたっては、実に多くのサプライヤやサービス・プロバイダと関係しています。それらのベンダやサプライヤを一元管理することは、ソフトウェアの一元管理と同様、容易なことではありません。まずは、どのような種類のサプライヤが存在するのか、またそうしたサプライヤにはどのようなリスクがあるのかを洗い出していくところから始めることをお勧めします。
このとき、最初から一社ごとの細かなリストを作るのではなく、大きく分類することから着手し、分類ごとのリスクを明確にしていきます。そうすることで、過度な工数を割かずにサプライチェーン由来のリスクを可視化することが可能です。リスクを明らかにできれば、それに対して適切なリスク低減施策を実施し、その結果をモニタリングするといったサプライチェーン・リスク・マネジメント・プロセスを構築・運用することもできるようになります。またソフトウェア由来のセキュリティ・リスクについても、この活動の中で、適切な対応ができるような基盤を作ることができるでしょう。
② 多様化する働き方に準じた、運用ルールをつくる
更に、アジャイルな事業開発が求められる昨今、多様な人材の確保のため働き方も多様化しています。プロジェクト型雇用、テレワークなど、「シャドーIT化」の要因はますます増えているといえるでしょう。例えば、自宅ネットワークに接続しているPCに、業務のために便利そうなソフトウェアを簡単にインストールすることも可能です。それを容認すれば、セキュリティ管理者からは資産状況がまったく見えない状況になりかねません。それを避けるためには、まず業務端末・アプリケーションの利用ルールを明確に示し、周知することが必要です。
③ セキュリティを「自分ごと」化し、ルールを守る組織をつくる
最後のポイントは、このような組織全体での活動を推進するうえで欠かせない、関係者の「モチベーションの向上」についてです。セキュリティ施策に限らず、従業員に本気で取り組んでもらうためには、一人ひとりに「自分ごと」化してもらうことが必要です。セキュリティ施策そのものではありませんが、私が参考にしているフレームワークをご紹介します。
「自分ごと」化、意識向上のアプローチとしては、教育心理学が活用できます。例えば、アメリカの教育心理学者John Kellerが提唱した学習意欲向上モデル「ARCSモデル(表1)」が参考になるでしょう。中でも重要な点は「関連性・重大性(Relevance)」、「満足(Satisfaction)」、だと考えています。
セキュリティの目的は、自社や自組織の経営・事業戦略を成功させる(失敗させない)ことです。また、セキュリティが事業の成否と密接に関連していることについて認識を高めることはもちろん、セキュリティが向上したときには、貢献した従業員・チームをきちんと評価することも忘れてはなりません。
脆弱性対策で、企業戦略の成功を支援する以上のように、ソフトウェア脆弱性に対する取り組みは、セキュリティ統括組織だけで完結するものではありません。事業推進組織とセキュリティ統括組織、両者がアラインし、「一枚岩で戦略の成功を目指す」意識醸成を行うことが非常に大切です。
さらに、昨今の政府によるセキュリティ人材育成戦略においては、セキュリティ組織内の専門人材以上に、事業推進組織側にプラスセキュリティ人材の役割が重要になると述べられています。特に、DX推進組織など事業のデジタル化を担う組織には重要なものとなるでしょう。組織一丸となってリスク意識を高め、統合的にソフトウェア脆弱性対策を進めてまいりましょう。
清水 智
トレンドマイクロ株式会社
日本地域CISO
2002年トレンドマイクロ入社、製品開発部門、セキュリティのコアテクノロジー部門での品質マネジメントや事業継続マネジメントの責任者を歴任。2012年より統合型リスクマネジメントの重要性を認識し社内に専門チームを発足。大規模スポーツイベントのセキュリティ、サイバーセキュリティ、リスクマネジメント、人材育成などのマネジメント領域における専門家。2020年10月よりトレンドマイクロ・日本本社のCISOを務める。
政府へのセキュリティ政策提言、INTERPOL向けサイバー犯罪捜査官育成などに携わる。一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事、一般財団法人日本サイバー犯罪対策センター(JC3)理事、国際刑事警察機構グローバルサイバー犯罪専門家委員会委員なども務める。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)