それは、過ぎ去った時代の色あせたポラロイド写真のようなものです。中央集権型のソフトウェアを搭載したコンピューターが、オフィス内に安全に施錠されていた時代。ほとんどの組織にとって、それはすでに過去の時代であり、懐かしく思い出される一方で、現在の実態からは大きくかけ離れています。

今日、企業のITインフラストラクチャとどれほど多くのデバイス、資産、人が関わっているかを考えてみてください。

  • デバイス(デスクトップ、ノートPC、モバイル、IoTデバイス。会社所有および個人所有を含む)。
  • ソフトウェアとアプリケーション(クラウドベースが増え、組織の管理外に置かれることも多い)。
  • デジタル資産とドキュメント。
  • APIとインテグレーション。
  • 社内担当者、リモート/ハイブリッド勤務の従業員、フリーランサー、請負業者、ベンダー。

さらに、これらのデバイス、アプリケーション、資産の多くは、IT部門やサイバーセキュリティチームから見えない、広範なシャドーIT環境の一部である可能性があります。

この拡大するエコシステムは、同様に複雑なITリスク環境を生み出しています。軽減されていないITリスクは、企業の財務、機能、士気、評判に大きな影響を及ぼす可能性があります。組織が直面するサイバーセキュリティ脅威の絶え間ない流れと、それらがもたらす現実的な影響により、堅牢なITリスク管理プロセスの必要性は極めて明確になっています。

この簡潔なITリスク管理ガイドでは、次の内容を取り上げます。

  • ITリスク管理とは何か。
  • ITにおけるリスク管理の5つのステップ。
  • 従うべきITリスク管理プロセスと戦略。
  • ITリスク管理のベストプラクティス。

ITリスク管理とは何か

企業は、組織と業務のほぼあらゆる側面で、何らかの「リスク」に向き合っています。しかし、ITリスク管理について語るとき、私たちが意味するのはサイバーセキュリティリスクです。

これまで見てきたように、複雑なITプロセスやツールが組織の日常業務に組み込まれるにつれて、それに伴うリスクも増加しています。そこで登場するのがITリスク管理です。これは、リスク管理の原則をIT組織に適用する取り組みです。

ITリスク管理には、組織の資本と収益に対するリスクを特定、評価、優先順位付けすることが含まれます。また、それらのリスクの影響を最小化、監視、制御するための対策を講じることも含まれます。

簡単に言えば、重要なビジネス資産を保護し、ルールや標準への準拠を確保し、良好なイメージを維持し、十分な情報に基づく意思決定を行い、困難な状況においても円滑な運用とレジリエンスを確保することです。

リスク管理は組織にとって新しいものではありません。ここで重要なのは、よく知られたプロセスと手順を、拡大するIT関与のネットワークに適用することです。組織がITリスク管理計画を構築する際には、リスクマネージャーやリスク修復アナリストといった従来からある役割を配置することが多くあります。これらの役割には、一般的なリスク管理の実践に対する深い理解だけでなく、リスクを適切に評価し修復するためのITの背景知識も求められます。

新たなサイバーリスク環境

ただし、大きな課題は、ITチームとサイバーセキュリティチームが対処しなければならないリスクが止まっていないことです。実際、その絶えず変化する性質こそが特徴であり、最大のリスク源とも言えます。

過去5年間で、ITリスク管理の性質は大きく進化し、絶えず変化するサイバーリスク環境の課題に対応するために、その範囲と意味を広げてきました。

ITリスク管理を簡素化するという課題は、ますます複雑になっています。なぜなら、直面する脅威は多くの点で、従来の「リスク」の定義に当てはまらないからです。

ITリスクとそれが影響を及ぼす領域の定義

まずは基本的な問いから始めましょう。私たちは実際にどのようなリスクに対処しているのでしょうか。少し前のリスクとは、もはや同じではありません。

本質的には、ITリスクは、侵害されたデータセンター、個人のコンピューターの脆弱性、悪意のあるウイルスとして現れる可能性があります。しかし、今日のより多様で流動的な脅威に対しては、リスクベースの脆弱性管理(RBVM)を検討し、このプロセスを自動化する方法を探る必要があります。さらに、DevSecOpsの実践を採用することで、リスクを先回りして防止する必要があります。

前提を整えるために、ITリスクとセキュリティリスクの違いを整理しましょう。

  • ITリスクとは、ITの障害または不正使用に関わる潜在的なマイナスの結果を指します。
  • セキュリティリスクとは、安全性に対して潜在的な脅威となる、または組織に損害を与える可能性のある人や物事を指します。

サイバーセキュリティの環境が変容するにつれて、脅威と脆弱性に対する私たちの概念も形を変えてきました。組織は脅威に直面し、その脅威にさらされる状態が脆弱性です。その脆弱性が悪用されると、リスクになります。つまり、ITリスク管理はITの脆弱性を管理することにかかっています。脅威を完全に排除することはできないかもしれませんが、継続的な脆弱性管理によって、その影響を調整し抑制することはできます。

IT脆弱性管理の中核となる2つの領域が、IT資産管理(ITAM)とITサービス管理(ITSM)、そしてそれらが導入するテクノロジーです。

  • ITAMは、組織の物理的およびデジタル資産をライフサイクル全体にわたって追跡し最適化することで、重要なリソースの効率的な利用と適切な取り扱いを確保します。
  • ITAMツールは、ハードウェアやソフトウェア資産などの構成アイテム(CI)の管理を提供し、IT部門がCIをライフサイクル全体にわたって構成、最適化、追跡できるようにします。
  • ITSMは、組織のニーズを効率的かつ効果的に満たすために、ITサービスを設計、提供、管理、改善する実践です。そのツールとベストプラクティスにより、エンドユーザーやその他の社内クライアントからのテクノロジー関連の要求をIT部門が追跡し、対応し、サービス提供する能力が向上します。
  • ITSMツールでは、レベルゼロのヘルプデスクサポートを実現する取り組みの一環として、ユーザーが単純で一般的な技術的問題を自分で解決する「セルフサービス」も可能になります。
  • ITリスクの制御に関わるもう1つの領域があります。それはエクスポージャー管理です。これは、悪用される前に潜在的な脆弱性とセキュリティリスクをプロアクティブに特定し軽減する新興分野です。

ITネットワークとサイバー脅威がどれほど複雑になっているかを説明してきましたが、これらのツールはどのようにITリスク管理の簡素化に役立つのでしょうか。

適切な機能を備えたITAMおよびITSMのテクノロジープラットフォームは、組織がクローズドループ型のセキュリティプロセス内でIT運用を統合するのに役立ちます。そこでは、脆弱性の検出、評価、修復が自動化され、継続的かつプロアクティブに行われます。

もちろん、重要なキーワードは「自動化」です。脆弱性にパッチを適用したり、問題をユーザーに影響が及ぶ前に修復したりできれば、人による介入は不要です。これにより、セキュリティへの影響や、ヘルプデスクへの問い合わせの必要性さえも防ぐことができます。

ITセキュリティのワークロードをシフトレフトする

したがって、IT部門が使用するツール、特にITAMとITSMは、その自動化を活用することで、セキュリティ部門の「シフトレフト」を支援できます。これにより、より少ない労力とコストでより多くのセキュリティ対策を実行でき、プロアクティブなリスク修復へと発展させることができます。

ITAMとITSMの自動化を活用して、セキュリティチームの業務を軽減する方法にはどのようなものがあるでしょうか。

エンドユーザー向けセルフサービスオプションの改善

セキュリティ関連のリクエストや質問のトリアージを自動化し、低レベルのリクエストを下位層の担当者に振り分けることで、シニアアナリストをフィッシングの識別などの作業から解放します。セキュリティWiki内にファイルアクセスやポリシー例外のリクエストフォームを実装し、レベルゼロのセルフサービス型ユーザーサポートを可能にします。

セキュリティインシデント解決の統合

ITチケット管理ソフトウェアと優先順位付けキュー(リクエストフォームから入力されるもの)を転用し、優先順位付け、追跡、文脈把握を改善します。

バックグラウンドのIT自動化をセキュリティユースケースに転用する

特定の設定に基づいてトリガーされるITAMおよびITSM内の同じプロアクティブなIT自動化を複製し、調整することで、エンドポイント環境の保護や悪意ある活動の検知など、幅広いセキュリティ目的に対応できます。

自動化トリガーを設定する

セキュリティチームは、既存のCIを活用し、ITAMの構成管理データベース(CMDB)で追跡されるセキュリティ固有のカスタム変数を作成して、自動化式のトリガーおよび構成要素として使用できます。

セキュリティ適用の自動化

ユーザーに対して一般的なコンピューターポリシーを適用する同じIT機能で、セキュリティプロトコルのレポートと適用も行えます。たとえば、ポリシー違反の可能性や内部脅威が検出された際にアラートを送信できます。

ITリスク管理を効率化する5つの鍵

ITリスク管理の簡素化と最適化は、IT部門だけで実現するものではありません。導入するプロセスやツールの効率性と有効性を高めるためのあらゆる施策に対して、組織のサイバーセキュリティチームも当然ながら大きな関心を持っています。そのため、ITリスク管理を改善するうえでの重要なステップの多くは、IT部門、セキュリティ部門、その他の関係者の間のコミュニケーションとコラボレーションを中心に展開されます。

以下のポイントについてさらに詳しく知りたい場合は、当社のeBook「対立から協力へ」をご覧ください。

1. セキュリティチームは計画と依頼内容を説明する

一方的な指示は避け、セキュリティ計画、変更、依頼の背景にある戦略とメリットを組織の関係者に説明しましょう。セキュリティ計画を開始する前に、CISOはセキュリティ戦略とその実装計画を共有する必要があります。説明のないセキュリティ依頼は、IT部門の不満を招きやすいためです。

時間や対応能力の制約により、変更が求められる理由の説明なしにセキュリティ依頼が出されることがあります。これにより、IT部門が依頼を実装するのが難しくなる場合があります。セキュリティチームは、自分たちの依頼をIT部門がどのように実装できるかを考慮することが重要です。

2. IT部門の負担を意識する

セキュリティチームは、依頼を行う前にITチームのワークロードを常に考慮する必要があります。IT部門は大規模なプロジェクトに対応している最中かもしれず、そのタスクを処理するのに十分な人員がいない可能性もあります。ITチームがセキュリティポリシー、依頼、パッチを実装しやすくするツールやシステムを探すことが不可欠です。

リスクベースの脆弱性管理(RBVM)とITSMを組み合わせることで、重要なタスクを自動的に優先順位付けし、誤って優先順位付けされたタスクを除外できるため、IT部門の負担を軽減できます。

次の点を考えてみてください。任意の時点で、Common Vulnerability Scoring Systemによって約25万件の脆弱性が特定され、高、中、低のリスクに分類されています。そのうち約38,000件が武器化されており、約11,000件、つまり4%が危険と見なされています。RBVMの観点から見ると、CVSSによって「重大」とフラグ付けされたリスクの多くは実際には重大ではありません。高および中の脆弱性の中でも最も危険な4%まで絞り込めるからです。CVSS標準で特定された脆弱性をこのように再分類することで、ITチームが注力すべき真に重要な脆弱性へと注意を大きく向け直すことができます。

3. コラボレーションを受け入れる

ITリスク管理の効率化に向けて協力する部門は、互いに利益のある成果を達成するために連携する必要があります。結局のところ、それぞれに優先事項があります。IT部門は運用を円滑に進めたい一方で、セキュリティ部門は問題を可能な限り迅速に管理したいと考えています。

ITリスク管理のプロトコルとプロセスを構築する際に協力し、柔軟性を持たせることで、双方が成果を得ることができます。この柔軟性を生み出す方法の1つが、相互に合意されたサービスレベル契約(SLA)を確立することです。

4. 共通の目標を設定する

セキュリティ部門とIT部門には共通点があります。どちらも、組織、ユーザー、プロセスを円滑に稼働させ続けたいと考えています。そのため、ITとセキュリティのリーダーシップが目標をすり合わせ、主要業績評価指標(KPI)、ダッシュボード、その他の指標を設定して、それらを追跡し強化することが不可欠です。

また、組織が戦略目標を導入することの意味を理解し、製品、プロセス、人に及ぶ影響が、その目標を確定する前に把握されていることも重要です。

5. 助け合う

セキュリティチームとITチームの間で管理リソース、技術的専門知識、ツールを共有することで、コストを削減し、コラボレーションを促進できます。たとえば、セキュリティ部門が自分たちのユースケースのためにITツール、ポリシー、プロセスを借りる場合は、その見返りとなるものを提供すべきです。

共有されたツール、ダッシュボード、レポートは、両チームが互いの領域を理解するための文脈を生み出し、共感と信頼を築きます。

企業のデジタルネットワークに対して現在広がっている脅威を考えると、このようなコラボレーションは極めて重要です。