ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

セキュリティ対策の「実力」は
どうやって評価するか

デロイト トーマツ リスクサービス
【第10回】 2018年4月26日
著者・コラム紹介バックナンバー
previous page
4

RTO実施時に注意すべきこと

 RTOを検討、実施する際の3つのポイントをまとめます。

1)経営層・リスク管理責任者が主導すること

 RTOでは対策の実効性を評価することになりますが、これら対策の多くは一般的にはIT部門により導入・運用されています。前述の「無予告」という前提を維持するとともに、自己評価になってしまうことを避けるためにも、RTOを主導するのはIT部門ではなく、経営層・リスク管理責任者であることが相応しいと言えます。

2)Red Team(攻撃側)は適切な依頼先を選定すること

 RTOを組織内で実施することは専門性等の点で困難であるため、Red Team(攻撃側)は外部の専門企業に依頼することが一般的ですが、適切な依頼先を選定することが重要です。選定基準としては大きく3つあり、1つ目は当然ながらサイバー攻撃に関する高度な専門性を有することです。実際のサイバー攻撃者と同等の能力を有していなければ、実効性のあるRTOを実施することができません。

 2つ目は信頼性です。RTOでは組織の脆弱性を詳細に知られてしまう恐れがあるため、真に信頼のおける依頼先でないと、RTOの結果を悪用され、かえってサイバー攻撃のリスクを高める結果になりかねません。3つ目はRTOの意義(実効性向上)に基づき、評価だけではなく、改善を含めて総合的なアドバイスを提供できる、ということです。この3つの選定基準をすべて満足する依頼先をRed Team(攻撃側)として選定することが重要です。

3)実効性向上という目的を明確化にし、改善策の検討段階ではBlue Team(防御側)を積極的に巻き込むこと

 前述の通り、RTOの意義は単に「評価」することにとどまらず、実戦演習を通じて対策の実効性を「向上」させること、即ち改善にあります。評価段階ではBlue Team(防御側)への予告・調整は控えるものの、改善策を具体的・現実的に検討する際には、IT部門をはじめとするBlue Team(防御側)を積極的に巻き込むことが必要です。

 既存対策の不備が見つかったとしても、その犯人探しや責任追及を行うべきではありませんし、経営層・リスク管理責任者はそのスタンスを明確にすべきです。そうでなければ、IT部門などの防御側が既存対策に問題が無いことを正当化するための主張を行い、改善のための議論が阻害されてしまう恐れがあります。

***

 本稿ではRTOの概要・意義・実施時のポイントについて概説しました。サイバーセキュリティに限ったことではありませんが、真の実力は実戦においてのみ評価され、磨かれるものです。また、サイバーセキュリティに関していえば、初めての実戦では負けて当然というわけにもいきません。本当の実戦で深刻な被害を受ける前に、RTOという実戦演習で対策の評価・向上を行うことで、「防げるはず」「検知・対応できるはず」という「想定」を「現実」のものにすることが望まれます。

previous page
4
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧