21世紀の組織に向けたデジタル 変革に対する洞察: リスクの管理

ITとサイバーセキュリティの分野では、変化は避けられないものです。デジタルの進歩により、物事を行う革新的な方法が進み、新しい産業が生まれ、人々が世界規模で交流する方法も根本的に変貌を遂げています。ISACAに最近加わったボードメンバーの一人として、ISACAの専門コミュニティが、公営企業や民間企業における肯定的な変化を促進する技術や新しい基準、効果的なガバナンスモデル、ベストプラクティスに影響を与えているのを目にすることができ、心強く感じています。

コンプライアンスの先に進む

従来のガバナンスモデルは、コンプライアンスベースのガバナンスモデル上に構築されています。ほとんどの経営陣は、ITやサイバーセキュリティの機能に必要以上のコストを割くことを好まず、むしろ、規制基準に準拠しているかどうかに神経をとがらせています。

基準を最新の状態に保とうとする規制当局の能力を、今日の技術に依存する環境の目まぐるしい変化が上回る中、従来のコンプライアンスのその先へと進む時期が来ています。コンプライアンスが必ずしも企業にベストプラクティスをもたらすわけではありませんが、ベストプラクティスを実施することでコンプライアンスが実現します。優れた組織はコンプライアンスがベースラインであることを認識しており、ベストプラクティスが達成しなければならない目標となっています。

人、プロセス、技術：それぞれ分離した、同等の要素

デジタル変革に対する取り組みについて言えば、あまりにも多くの人が一時的な流行にとらわれ過ぎており、事業運営や収益性、顧客経験、セキュリティ、効率性の向上などの事業上の必要性を促進するような、十分な設計と監督がなされた計画が実施されていません。最新かつ最高の技術の導入を性急に行うと、しばしば失敗や採算割れ、顧客離れまたは懐疑的な取締役会が理論倒れの変革への取り組みにこれ以上の投資をしないという結果およびその両方を招くことになります。

デジタル変革の取り組みは、技術のみに専念した場合に、失敗したり、採算を下回ったりという結果になります。機器を適切に操作および維持するように人員を変革しなかった場合や、技術を最大限に活用できるようにプロセスを変更しなかった場合などに、取り組みが絶望的なものへと変わります。

リスクは排除しないでください。管理することが大切です。

人と同じようにプロセスと技術もリスクを管理する上で重要な要素であり、優れた組織では、これら3 つの要素全てに重点を置いています。潜在的な敵の場合も同じです。

ハッカーやサイバー犯罪者、不正国家は、攻撃を開始する時にこれら3つの要素すべてを考慮する必要があることを知っています。したがって、リスクエクスポージャについてより包括的に把握する必要があります。

幸いなことに、今日の人員はますますサイバーを認識する傾向にあります。組織や個人は高度な教育や指導プログラムに投資しており、採用担当者には特別な資格が求められており、優秀な人材の確保や後継者育成計画がより重視されています。

例えば、ISACAの公認情報セキュリティマネージャー[Certified Information Security Manager®(CISM®)] や公認情報システム監査人[Certified Information Systems Auditor® (CISA®) ]の資格認定などのサイバー認証資格を取得した従業員を昇進させることで、より優秀なサイバー人材を育成する取り組みを開始しました。多くの組織では、認証資格を取得し、これを維持しているサイバー専門家は特別給与を受け取っています。十分な訓練を受けた、熱心に取り組むサイバー人材は、サイバーにおけるリスクを軽減します。

「労働力の強化」という動きがある一方で、プロセスを改善する方法もあります。新技術の導入に合わせて、ビジネスプロセスの変革にかかる組織はほとんどいません。組織が最新技術を採用しながらも時代遅れのプロセスを採用している場合、それは、高性能の車を運転しながら、休日の交通渋滞に巻き込まれるようなものです。

効果的なガバナンスモデルにより、プロセスの変革が、デジタル変革の取り組みだけでなく、日々の業務の管理と監督も導くチェックリストの一部となります。すべての重要インフラ部門でデジタル変革を促進し、向上させるプロセスの改善を支援するためには、ますます多くの公認ITガバナンス専門家 [Governance of Enterprise IT (CGEIT) ]が必要となります。

時代遅れのインフラストラクチャを廃止するのは今

数年前、私は有名なムーアの法則に触発されて、¹ Touhillの法則を作りました：人間の1歳はコンピュータの25年に等しい。この論理の背景には3つの要因があります。

まず最初に、犬の寿命の計算に使われるよくある格 言があります：人間の1歳は犬の7歳に等しい。次に、マイクロソフトやアップル、グーグルなどの優秀なテクノロジー企業は、（通常）3年ごとに次世代の製品を出しています。そして第三に、政府機関は人間の平均寿命をおよそ75歳と推定しています。 75年（人間の寿命の長さ）を3年（コンピュータ世代の長さ）で割り算すると、結果は25年になります。したがって、人間の1歳はコンピュータ年の 25年に等しいのです。

Touhillの法則は、インフラの高齢化が危険であるという事実を強調しています。私は、米国政府の最高情報セキュリティ責任者（CISO）を任されている時に、米国政府がたくさんの古いコンピュータを（今も現役で）使っていることに気づきました。こういったコンピュータは壊れやすくて維持が難しく、運用コストも高く、機能不良や敵対勢力からの侵害を非常に受けやすいものでした。（あるコンピュータは、1964年にネットワーク接続されていたことがわかりました！）

最新ではない研修を受けた従業員や、もはや効果的ではないプロセスのように、古くなったインフラストラクチャ（アーキテクチャ、ソフトウェア、ハードウェア、コミュニケーションを含む）も、使用を中止したほうが良いかどうかを常に評価する必要があります。デジタル変革がすでに進行しており加速している中、パフォーマンスを強化してセキュリティを向上し、全体的なコストを削減できる将来に備えた投資と資本再構成の判断をするのは今です。

残念ながら、多く組織が1990年代の技術やアーキテクチャ（仮想プライベートネットワーク[VPN]、ファイアーウォール、すべての通信に個別の暗号化リンク、ネットワークアクセス・コントロール[NAC] など）を未だに使用しており、侵入しやすい「バリアリーフ（堡礁）」の状態になっています。過去 20年間にわたっておこなわれた数々の違法行為が、仕事で手一杯のIT専門家がますます複雑化するフランケンシュタイン（注　自分の造ったものに滅ぼされるという意味を持っています）のような環境の稼動状態を維持しようと奮闘している間に、悪意を持つ敵は簡単に抜け穴を見つけ、目標を攻撃するために楽々と侵入できていることを証明しています。

今年はVPNとファイアーウォールの誕生から22年目の年です。この数値は、Touhillの法則によれば550年になります。国家の繁栄と安全を保護できるより現代的で安全なインフラストラクチャに移行する時が来ているのは明白です。

リスクを評価し、ガバナンスモデルを改善する際には、効果的で効率的、かつ安全な結果を実現するためには、アーキテクチャが重要な要素であることを認識しておくことが大切です。アーキテクチャに関する情報は、ネットワーク内に含まれる最も貴重な情報と同じレベルで保護されるべき優先度の高い情報として扱われるべきです。

足踏み状態は遅れを意味します

VPNの必要性をなくし、あらゆる場所のすべてのアプリケーションやプラットフォームを保護できるソフトウェア定義の境界（SDP）技術などといった、 21世紀の効果的な技術を採用してアクセス・コントロールを変革することが不可欠です。

SDPはIDに基づいた、トランスミッション・コントロール・プロトコル（TCP）/インターネット・プロトコル（IP）の決定的な弱点に対応する技術です。悪意のある行為者からすれば、認証することなくデバイスへのアクセスを得ることができるという危険性をはらんでいます。SDPは、ユーザーにアクセスが許可されているもののみに接続する前にまず認証を行うことで、この脆弱性を解消します。ネットワーク層で動作している時にレイテンシが最小となるため、OSI（Open Systems Interconnect）モデルの第3層でSDPが動作するのが最良です。

SDPは、ネットワーク全体で最小特権の原則を適用して「ゼロ・トラストモデル」を実施します。これはネットワークを保護する側にとって大きなメリットです。SDPはクラウド向けに構築された、クラウド似の技術であり、クラウドネットワークでネイティブに動作します。完全分散型で、インターネットと同じだけの拡張性があります。

クラウドの使用は慎重に

米国空軍に勤めていた30年間に、パイロットは雲の中に何があるかを知らずに雲の中を飛ぶことは絶対にないということを学びました。従来のインフラストラクチャのクラウドベースの環境への移行は、現代のデジタル変革にとって重要なコンポーネントではありますが、こういった移行は、事前に下準備をしていない人にはリスクが伴うものです。

元最高情報責任者（CIO）である私は、クラウド技術の熱烈な愛好者です。インフラストラクチャのプロビジョニングの迅速化、総所有コストの削減、順応性など、たくさんのメリットがあります。クラウド環境にSDPを導入する必要性以外にも、クラウドへの移行と運用を強化するCIOに向けた他の推奨事項をここにいくつか紹介します：

• ラウドベンダーとのサービス契約の全てにポータビリティに関する条項を含めてください。CIO は、契約締結時にデータを1つの場所から別の場所に移行する準備ができている必要があります。新しいプロバイダにデータを移行させるだけでなく、関与が終了した時点で、最初のクラウドプロバイダのインフラストラクチャ上にあるデータが適切に処分されていることを確認する必要があります。
• ログへの自由なアクセスを取得し、定期的に見直してください。ネットワークトラフィックのログ取得と見直しは、よいサイバーセキュリティプログラムに不可欠な要素であり、ネットワークを保護する側のネットワークがパラメータ外にある時や、攻撃にあっている時に、その特定に役立ちます。これらは通常に払われるべき相応の注意とデューデリジェンスの実践です。クラウドに移行する際には、企業のデータに該当するログへのアクセスと見直しを確実に行うことが非常に大切です。また、潜在的な社内外からの脅威に先立って独立した分析を実行することも同様に大切です。
• 侵入テストを実施する権利を得るようにしてください。防御をテストすることで、ネットワークの安全性（または不安全性）の程度を確認し、ベストプラクティスと改善すべき部分を特定します。 CISOは、クラウド要件と最終契約に侵入テストを実施する権利を確実に含む必要があります。
• 契約の条項の適切な提供を確保するため、独立した第三者による監査を行う権利を得るようにしてください。 中に何があるのかを知らずに組織がクラウドを導入した場合、支払った金額に見合ったものを得ているのか、あるいはデータがリスクにさらされていないのかについて、組織は全くわからなくなる可能性があります。すべての面にかかわる関係、人材、プロセス、技術を監査できるビジネススキルと技術スキルを備えた専門家を雇うことは、最悪のケースである違反シナリオを避けるために有効です。

ISACAコミュニティは、現代のエンタープライズIT が多様かつダイナミックであり、分散されていることを理解しています。組織がデジタル変革を推進し、より効果的で効率的かつ安全な結果をもたらすための支援をISACA専門家が提供する時期が来ています。世界の経済的繁栄と安全はこの結果にかかっています。

後注

¹ ムーアの法則、www.mooreslaw.org/