セキュリティ成熟度調査で見えた国内企業のセキュリティ課題とは？

国内企業は検知/対応/復旧の能力に課題がある？

トレンドマイクロでは、NISTのCyber Security Framework（以下、CSF）で定義されている5つの機能（識別、防御、検知、対応、復旧）それぞれの成熟度について、国内法人組織の実態を調査しました。

法人組織を脅かすサイバー脅威の中でも現在特に目立っているのがランサムウェア攻撃です。昨今のランサムウェア攻撃は標的企業のネットワークに侵入して内部活動を行う「標的型」化が一般的となっており、資産管理や脆弱性対応といった事前予防だけでなく侵入後に迅速に検知して対応・復旧を行う「事後対処」の能力まで求められるようになっています。一方で、この事後対処能力は法人組織によってはまだ十分でなく、インシデント発生後に事業復旧まで多大な時間を要してしまうケースも少なくありません。実際に、一部のガイドラインや声明ではこの事後対処能力を課題視する言及もあります。例えば、2017年に改訂されたサイバーセキュリティ経営ガイドラインver2.0の改訂ポイントでは、以下のように説明されています。

●昨今のサイバー攻撃の巧妙化により事前対策だけでは対処が困難。
●米国のサイバーセキュリティフレームワークでも事前対策だけでなく、事後（検知、対応、復旧）対策を要求。
●一方で従来のガイドラインはCSIRTの構築などの「対応」に関する項目はあるものの、「検知」や「復旧」に関する内容が弱く、国際的な状況を踏まえるとガイドラインとの整合性が不十分。
引用：「サイバーセキュリティ経営ガイドラインの改訂ポイント」（経済産業省商務情報政策局サイバーセキュリティ課）

また、2022年10月に発表された経団連サイバーセキュリティ経営宣言でも、以下のような記述が書かれています。これはサイバーセキュリティ経営ガイドラインの内容を受けての記述という見方もありますが、昨今のランサムウェア攻撃被害の状況を踏まえると未だこれらの能力が不足しているという認識を持っているとも読み取れます。

２．経営方針の策定と意思表明特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP（事業継続計画）の策定を行う。引用：「経団連サイバーセキュリティ経営宣言 2.0」（一般社団法人日本経済団体連合会, 2022年10月）

調査でそれぞれのセキュリティ機能の成熟度を測定

NISTのCSFでは、５つの機能に23のカテゴリ、そしてさらにその配下に108のサブカテゴリ（セキュリティコントロール）が存在します。今回は、CSFで推奨されているこれらのサブカテゴリをなるべく網羅する形で機能ごとにそれぞれ6つの設問を設け、合計30問から成る調査で各能力について測定しました。各機能で調査した能力は以下の通りです。

機能	調査内容（それぞれに設問を用意）
識別	識別資産管理、有事の対応方針決定、ガバナンス、リスクアセスメント、サイバーリスク合意、サプライチェーンリスク
防御	アクセス権管理、従業員教育、データバックアップ、脆弱性対応、保守管理、保護技術導入
検知	トリガー設定、相互分析、ユーザ監視、ネットワーク監視、検知テスト、検知プロセス改善
対応	対応計画作成、役割の明確化、社内情報統制、影響範囲分析、拡大防止策、対応計画改善
復旧	復旧計画作成、復旧目標の作成、改善活動、対外コミュニケーション、方針の合意、サプライチェーン復旧計画

表 1：セキュリティ成熟度調査の調査内容（NISTのCSFの内容を参考にトレンドマイクロが独自で作成）

また、成熟度を評価するにあたっては、CSFのインプリメンテーションティアとアメリカ国防総省のCMMC（Cybersecurity Maturity Model Certification）の評価指標を参考に以下の5段階で設定しています。

本記事では、調査結果から特に注目すべき点を抜粋してご紹介いたします。

総合的には「対応」のスコアが高く、「識別」と「復旧」が低い結果に

まず、機能ごとの総合的な成熟度について着目します。各機能の6つの設問の平均値を比較した結果、「対応」が最も高い結果となり、「識別」「復旧」がやや低い結果となりました。

「対応」および「復旧」で推奨されている項目は、いずれもその多くが予算を確保した上でセキュリティソリューションの導入を要する技術的課題ではなく、組織的なルール形成によって解決できる課題です。しかしながら、今回最も高かった機能が「対応」であった一方で、「復旧」は最も低い平均値と対称的な結果になっています。この要因の一つとして、過去に大がかりな復旧作業を要するまでの重大なセキュリティインシデントを経験したことが無い企業が、復旧機能の計画や合意の必要性を十分認識できていないことによる可能性があります。実際に、ランサムウェア攻撃を受けて復旧の重要性を認識し、その学びから復旧計画を整備される企業も少なくありません。あらかじめ復旧計画を策定して、経営層や事業部門、サプライチェーン企業と合意を取っておくことで、有事の際のオペレーションが円滑になり被害を最小限にとどめることができます。

また、「対応」はCSIRTの状況の有無で大きな差が生まれています。CSIRT設置済と回答した45.1％の企業の「対応」平均スコアが約3.00であるのに対し、設置されていない企業54.9%の平均スコアは約2.41となっており、CSIRTという組織の存在がインシデント「対応」のルールを整備に貢献することが改めて示されました。「対応」能力に課題がある企業はまずCSIRTの設置を、既に設置済の企業は改めて実効性を確認するとよいでしょう。

図 3：CSIRT設置状況と「対応」平均スコアの関係性（設問：あなたの組織におけるCSIRTの設置状況を教えてください）

「識別」と「復旧」で特に課題となっている要素は何か

次に、平均スコアが低かった「識別」と「復旧」の内容を詳しく分析します。まず識別の6つの設問の各スコアに着目をすると、「サイバーリスク合意」および「サプライチェーンリスク」のスコアが他の要素より低くなっていることが分かりました。

サイバーリスク合意は「サイバーリスクの許容度を、組織の利害関係者の間で合意を取って決めている」という内容であり、事業部門を始めとする関連部門とリスクの合意が取れているかを確認するものです。昨今では報道でもサイバー攻撃の被害について報じられる機会が多くなったことから、サイバーセキュリティに直接従事していない事業部門の方でもサイバーリスクの認識は高まっていることが推測されますが、BCP（事業継続計画）の一部として当事者意識を持ってリスクマネジメントできている部門はそう多くないことが予想されます。万が一の場合に備えて事業部門と事業停止リスクについてあらかじめ合意しておき、そのリスクの享受が難しい場合はバックアッププランを検討しておくなど、有事の際に備えた対策を事業部門側の意識としても醸成した上で計画することが必要です。

サプライチェーンリスクの設問は「サプライヤーやビジネスパートナーにおけるサプライチェーンリスクを評価している」という内容です。これは、近年その必要性が急速に高まっている分野であり、ベストプラクティスなども十分に確立していないことから、スコアが他と比べると発展途上であることが当然の結果と言えます。特定の担当者による属人化、あるいは部分的な実行に留まっている回答者が多い傾向にありましたが、今後は全社的なルール形成が求められる可能性があります。ただし、企業やビジネスの規模が大きくなるほどサプライチェーン企業が膨大に膨れ上がるため、全ての企業に対してセキュリティ部門だけで主導して一律の対応を行うのはリソースの観点で難しいのも事実です。現在ではサイバーセキュリティ経営ガイドライン Ver3.0の改定案としても既にサプライチェーンセキュリティの内容が挙げられていることから、今後は米国だけでなく国内のガイドラインが整備されることで、経営層含め全社的な理解も進むことが予想されます。よって、トップダウンアプローチなどで事業部門に主導して実施してもらうといった工夫が必要になるでしょう。

次に「復旧」について着目すると、「識別」で課題となっているものと共通点を見出すことができます。各設問のスコアを見ると、「復旧目標の作成」と「サプライチェーン復旧計画」のスコアが低くなっていることがわかります。

復旧目標の作成は、「影響をうけたシステムや資産の重要度に応じた復旧目標（RTO/RPO/MTD）を決めている」という内容です。これはIT部門側だけで定義するものというよりは経営層や事業部門と共に合意を取って設定できるものです。よって、識別における「サイバーリスク合意」をするにあたっての重要な判断指標の一つと考えることができます。

サプライチェーン復旧計画は、「外部のサプライチェーン企業に影響するインシデントの復旧計画は、関係する企業と合意を取って決めている」という内容であり、識別のサプライチェーンリスクから一歩踏み込んだ内容です。これもサプライチェーンリスクの評価と同じく、実際の業務プロセスに沿って検討する必要があることから、事業部門との協業が必要になる領域と言えます。

すなわち、「識別」と「復旧」においてスコアが低かった要素として共通する点として「サイバーリスクや復旧目標の“合意”」と「サプライチェーンリスクの考慮」という内容でした。では、今後組織としてこれらを成熟させるためにはどのような取り組みが必要となるでしょうか。

「識別」と「復旧」の成熟に必要となる“事業部門の主体性”

今回の調査で判明したスコアが低かった要素は、いずれも事業継続に直接的にかかわる要素であり、セキュリティ部門だけの取り組みで実現できるものではなく、事業部門との協業や合意で初めて実現できるものが多いことが分かりました。では、セキュリティ部門側が事業部門への働きかけが十分ではないかというと、そうではありません。実際、今回の調査における全30問の中で最もスコアが高かった要素は「防御」機能における「従業員教育」で平均約2.72という結果となっており、教育という観点では他のセキュリティコントロールと比較しても十分全社的な仕組みづくりが進んでいることが分かっています。

一方で、リスクの合意やサプライチェーンリスク対応などの「事業継続のサイバーリスクマネジメント」は先述の通り、必要とするリソースの関係上、事業部門側の協力や積極的な関与が無ければ中々実装が現実的ではありません。すなわち、これらを成熟させていくためには、「事業部門の主体性」を醸成していく必要があるといえます。そのためには、セキュリティ部門からのトレーニングを受講するという受け身の立場ではなく、事業の重大リスクの一つとして改めて事業部門側にサイバーリスクを認識してもらい、BCPの一環として主体的に動いて計画してもらわなければなりません。

図 6：セキュリティトレーニングと事業継続のサイバーリスクマネジメントの意識の違い
［画像のクリックで拡大表示］

この主体性の醸成を全社的に浸透させるためには、時にセキュリティマネジメント・プラットフォームの再構築が必要となる場合もあります。サイバーセキュリティ機能を適切にマネジメントするためには、“事業部門も関わる活動”および“事業部門が主体となる活動”を明確にし、それらについて適切なオーナーシップを策定することで、組織的な仕組みづくりを実現できます。サプライチェーンセキュリティリスクマネジメントをはじめ、サイバー脅威の多様化により課題が次々と増えていくのがサイバーセキュリティの現況です。これを解決するためには、セキュリティ部門のマンパワーを高めるだけでなく、マネジメントプラットフォームの再考を始めとした全社的な取り組みが求められる時代となるでしょう。