CCSIOにおけるビジネス目標とセキュリティの関連付け

戦略

CSIOがどのようなことを考えているのか、どのように考えているのか、を学ぶためにCCSIO(Certified Chief Information Security Officer)に関する書籍を読んでいます。

CCSIOはCISOのための資格です。よってCCSIOの書籍を読むことでCISOの思考を体験することができます。今回はビジネス目標とセキュリティの関連付けの方法について整理していきます。

企業の戦略立案プロセス

まず、セキュリティ戦略を立案するためのインプットは2つあります。1つがリスク分析の結果です。2つ目が企業の戦略です。企業の戦略には企業が現在何を重視してリソースを投下するべきかが書かれています。いわゆる何をやって何をやらないか、です。

CCSIOでの企業の戦略立案のアプローチは以下になります。

  1. ビジョンステートメントを作成する。
  2. ミッション・ステートメントを作成する。
  3. コア・バリューを明確にする。
  4. 測定可能な目標と目的を作る
  5. 目標達成のためのアクションを作る
  6. アクションを実行し、進捗を測定する。
  7. 計画を維持・更新する。

CISOというポジションであればこの企業の戦略立案のフェーズにも関わっていることが多いでしょう。

セキュリティ戦略立案プロセス

プロセス

企業の戦略ができたらセキュリティ戦略も同じプロセスで作っていきます。

  1. ビジョンステートメントを作成する。
  2. ミッション・ステートメントを作成する。
  3. コア・バリューを明確にする。
  4. 測定可能な目標と目的を作る
  5. 目標達成のためのアクションを作る
  6. アクションを実行し、進捗を測定する。
  7. 計画を維持・更新する。

セキュリティ戦略を作るメリットは優先順位付けをして人的リソースや予算を効率的に使うこと、です。

セキュリティ戦略の例

仮想的な通信会社が3年間の情報セキュリティ戦略計画をつくり、その3年間の目標、目的、行動計画の例が以下になります。

アイデンティティ: スマートフォン製品にバイオメトリクスを導入する

  • コア技術の選定
    • 研究の実施
    • 評価ラボの構築
    • トレードオフの実施
  • 能力開発
    • 最小限の実行可能な製品の構築と評価
    • 製品への移行
    • 継続的なサポート
  • ユーザビリティ・テストの実施
    • ユーザビリティ・パートナー/ベンダーの選定
    • テストの実施と結果の製品への反映

スタッフィング: セキュリティチームが適切な知識、技能、能力を備えていることを確認する

  • スタッフィング手法の開発と実施
    • セキュリティ・スタッフィング・マネジャーを雇用する
    • スタッフィングプロセスおよび手順の策定
  • キャリアラダーの開発と実施
    • キャリアラダーのコンサルティング会社を雇う
    • キャリアラダーチームの結成
    • スタッフに対するセキュリティトレーニングの実施
  • 社内でのセキュリティ基礎およびセキュリティ運用コースの開発
    • 学習管理システムの導入
    • スタッフの継続的なトレーニング、テスト、改善

リーダーシップに影響を与える: セキュリティに関する意思決定を行うリーダーの能力を強化する

  • 企業のリーダーと脅威情報を共有する
    • 脅威ソースの選択
    • リーダーシップのための脅威フィードの構築と展開
  • 企業リーダーとの連携
    • 社内にセキュリティリーダーシップセンターを設立する
    • 継続的なメンタリングの提供
    • セキュリティ意識向上のためのプログラムを支援する

Enterprise Architectureのセキュリティ版

しかしこれだけでは推進できないセキュリティプログラムがあるため、ビジネスとセキュリティを関連付けるためにEISAを使った構造的なアプローチが紹介されています。

EISAは企業情報セキュリティアーキテクチャの略で、EAのセキュリティ版です。EAモデルを使用して、情報セキュリティプログラムのアーキテクチャを分解し、ハイレベルなビジネスアーキテクチャの観点(組織図など)から、ローレベルな技術アーキテクチャプロセス(データフロー図やネットワークアーキテクチャ図など)に至るまで、企業との関連性を文書化することができます。

これの目標は、これらのコンポーネント(セキュリティソフトウェア、ハードウェア、ソリューション、技術、プロジェクト、プロセス、運用など)が、組織のビジネスアーキテクチャと整合し、統合されるようにすることです。

EAにはいくつかの手法があるが、ザックマンフレームワークFEAFSABSATOGAFなどがある。

まとめ

  • セキュリティ戦略の立案を行うには[su_highlight background=”#ffe299″]企業の戦略[/su_highlight]と[su_highlight background=”#ffe299″]リスク分析[/su_highlight]のインプットが必要
  • さらに[su_highlight background=”#ffe299″]ビジネスとセキュリティの関連付けの精度を上げる[/su_highlight]にはEAのセキュリティ版である[su_highlight background=”#ffe299″]EISAを使ったアプローチ[/su_highlight]がある
タイトルとURLをコピーしました