あなたのサイバーリスクの問題はテクノロジーではなく、アーキテクチャです

情報セキュリティ管理プロセスのガバナンスと連携した継続的なサイバーリスク管理プロセスの構築は、組織の存続を保証する前提条件です。ここでは、セキュリティアーキテクチャ、リスクガバナンス、組織文化をどのように連携させて効果的なサイバーセキュリティプログラムを構築するかについて、実践的かつ戦略的な視点を提示したいと思います。

ISC2が提案するドメインモデルをセキュリティアーキテクチャの観点から追ってきた中で、サイバープログラムにとってそれがいかに不可欠であるかを確信するに至りました。これは特に、ジェネレーティブAIのような新興技術が登場し、堅牢なデータセンターでホストされるクラウド環境で高い処理能力が求められるシナリオにおいて当てはまります。

高い電力需要に加え、これらのイノベーションはアクセスおよびアイデンティティ管理、ワークロードを保護するためのネットワークインフラのガードレールといった課題をもたらし、ガバナンス、リスク、コンプライアンス（GRC）プロジェクトを含む強力なアーキテクチャモデリングアプローチが求められます。

私の考えでは、サイバーリスク管理プロセスの構築と情報セキュリティ管理プロセスのガバナンスの組み合わせは、組織の存続を保証する前提条件です。

もし面接で、情報セキュリティ管理プロセスを導入する戦略は何かと問われたら、私はまず組織の状況、その文脈、そして関係者間のリスク文化の成熟度を考慮することが重要だと答えます。

もし会社がまだリスク志向のマインドセットを関係者や従業員に浸透させていない場合

サイバーセキュリティプログラムを売り込み、導入するのはより困難になります。最初に欠陥を指摘すると長期的な課題を生む可能性があるため、事業部門の経営陣と強力に連携し、積極的に調整・推進する必要があります。私自身、障壁に直面し、一歩引かざるを得なかった経験があります。

しかし、リスク文化（リスク許容度、リスク耐性、リスクプロファイルを含む）の醸成は、管理プログラムの範囲内で、進行中のリスクの実態やその認識・軽減状況を可視化し、組織のセキュリティ態勢向上能力を高めるために不可欠です。その結果、企業は顧客に信頼できる製品を提供し、評判を守り、安全なイメージを構築して競争優位性やブランド認知を獲得できるようになります。

もし会社がすでに成熟したリスク文化を持っている場合

サイバーセキュリティ管理プロジェクトの導入はより柔軟になります。サイバーセキュリティプログラムで成功するためのメカニズムを共有することが私の目的なので、以下にこの「レシピ」のいくつかの要素を強調します。

1. ビジネスのダイナミクスと範囲を理解し、関係者、プロセス、重要なシステムをマッピングし、アプリケーションを分類し、データを分類して適切なコントロール（ガードレール）のセットを決定します。
2. NIST CSF 2.0のようなフレームワークの選択と適用を理解し、ISO 27001、COBIT、CMM、NIST 800-53、SABSA、TOGAF、MITRE ATT&CK、OWASPなどと連携します。
3. ビジョン、目標、戦略、目的を定義することから始めます。NIST CSFの「Govern」セクションがGRC戦略として定義している内容を考慮します。例：「脅威駆動型アプローチを組織全体に拡大し、ビジネスおよび市場のコンプライアンス基準に沿ったサイバーセキュリティGRCプログラムを展開する。」各目標ごとに、「サイバーリスク管理能力を向上させ、NIST CSF構造に更新し、FAIRの導入も進める。」などの目的を定義します。
4. 継続的な成熟度測定プログラムの中で、KPIとKRIを組み合わせて指標を定義する必要があります。例えば、重要なコントロール：「パッチ適用：インターネットに公開されたシステムおよび重要システムにおける重大/高リスク脆弱性の修正までの平均日数。」このようにして、プログラムは関係者やアプリケーションオーナーにセキュリティ課題の解決を促し、プログラムの成熟度を高め、経営層への透明性を提供します。
5. この段階では、組織がさらされている脅威や一般的な攻撃手法のアセスメントを実施することが推奨されます。この文脈では、脅威リスト、リスク、予防的・検知的コントロール、ビジネスリスク（例：露出、評判、財務損失）など、すべての情報を集約してプロセスを強化します。コントロールは組織の状況に応じて定義でき、PCI-DSS、COBIT、NIST 800-53、CIS、NIST CSF、CRI、CMM、ISO 27001などのフレームワークが参考になります。
6. ここがプログラムの重要な部分です。ビジネスクリティカルな資産を理解すること。アプリケーションをマッピングし、ギャップ分析、リスクアセスメント、ペンテスト、最新の監査結果などの結果をもとに全体像を把握します。前述の通り、アプリケーションのマッピングとビジネスインパクト分析（BIA）によるビジネス要件との整合が不可欠です。ここではガバナンスも役割を果たし、サイバー管理プログラムの方針、基準、手順を定めます。
7. この時点でフレームワークモデルを組み込む必要があります。個人的には、ISO 27001、NIST CSF、NIST 800-30、39、RMFの組み合わせを推奨します。米国金融業界ではCyber Risk Institute（CRI）も、効果的なプログラム導入のための優れた資料を提供しています。また、多くの企業がすでにクラウドを利用しているため、CIS ControlsやCloud Security Alliance（CSA）CMMも有力な参考資料です。このフェーズはプロジェクトの心臓部とも言える繊細な部分であり、ここで組織のリスク許容度や耐性がビジネス目標と整合されます。したがって、この段階での関係者の巻き込みは、プロジェクトの成功を左右するリスク文化の醸成に不可欠です。NIST CSFのIdentify、Protect、Detect、Respond、Recoverの各ステップを考慮し、CISOの組織構造もプログラムに不可欠です。また、最初のフェーズであるGovernについては前述し、他の重要な側面も指摘しました。
8. リスク文化の醸成と並行して開発すべきもう一つの重要な要素は、継続的な情報セキュリティ意識向上プロセスです。この活動は全従業員、特にインシデント管理やサイバーレジリエンスに関与する人々を対象にすべきです。このグループには、ランサムウェア、フィッシング、AI攻撃、機密データ漏洩などの災害シナリオを模擬したテーブルトップ演習を推奨します。これにより、危機時の組織のレジリエンスが高まります。また、今日ではすべてがコード（API、コンテナ、サーバーレスなど）で定義されているため、ソフトウェア開発者に安全な開発のベストプラクティス（SAST、DAST、SCA、RASP、脅威モデリング、ペンテストなど）を教育することも重要です。
9. 技術的観点からは、NIST CSFのIdentify、Protect、Detect、Respond、Recoverの各段階から適切なコントロールを選択・実装することが重要です。ただし、ガードレール構築のための各コントロールの選択は、全体的なサイバーセキュリティの全体像と市場のベストプラクティスに依存します。特定された課題ごとに対応するコントロールを決定し、それぞれを三線防御（IT・サイバーセキュリティ、リスク管理、監査）が監督します。

この記事では各シナリオに適したコントロールの全リストを詳細に説明できませんが、NIST CSF、AI RMF、CIS Controls、CCM、CRI、PCI-DSS、OWASP、ISO 27001/27002などのフレームワークを参照することをお勧めします。これらは各コントロールのタイプを明示しています。例：「脅威インテリジェンス：新たなサイバー脅威シナリオを特定・評価し、組織が影響を軽減できるよう支援する。」

最後に、サイバー管理プログラムは、法的、規制的、地域的要件、プライバシーやサイバーセキュリティ法も考慮する必要があります。これにはLGPD、CCPA、GDPR、FFEIC、中央銀行規制などが含まれ、コンプライアンス違反の結果を理解することが重要です。違反は組織に深刻な問題をもたらす可能性があります。

ふう……アーキテクチャの概要と、ビジネス要件に沿ったサイバーリスク管理プログラムの構築方法を簡潔にご紹介できたことを願っています。

これは私が実際に利用し、組織のリーダーに提案してきた推奨ルートであることを覚えておいてください。一般的に、よく設計され実装されたアーキテクチャの重要性はプログラム全体の基盤となり、成功の鍵となります。アーキテクチャ、GRC、CISOの役割の連携が、組織が脅威に対抗しサイバーセキュリティ態勢を向上させる能力をどこまで高められるかを左右する可能性があると改めて強調します。

有名なことわざにあるように：「私はあなたの建築家として彼と共にいた。日々、私は彼の喜びであり、常に彼の前で楽しんでいた。」この知識があなたのサイバーセキュリティプログラムの成功に貢献することを願っています。良いものはぜひ取り入れてください！

出典に関する注記：このコラムは、私の職場での経験に基づいて執筆しました。つまり、組織内での実体験です。昨年、ハーバードでサイバーリスク管理の短期コースを修了し、サイバーリスクプランを作成する必要がありました。本記事はこのプロジェクトおよび様々な組織でのサイバーリスク業務経験に基づいています。使用した情報源にはNIST CSF、CRI、Cloud Security Allianceなどがあります。ISC2については、私はCCSPおよびCGRC認定のインストラクターであり、ISC2はGRCの観点でいくつかの資料を提供しています。

本記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？