ゾーホージャパンのセッションではManageEngineソリューションエバンジェリストの曽根禎行氏が「改めてリファレンスしたいサイバーセキュリティのフレームワーク」をタイトルに講演した。セキュリティフレームワークとは、世界で業界標準として用いられているセキュリティ基準のことで、企業・組織がセキュリティ対策を推進・管理する上で参考にできる。企業・組織が情報システムを設計したり、運用したりする際に指標となるものだ。
ManageEngine
「セキュリティ対策」というと、まずセキュリティ製品の導入、ITベンダーにとってセキュリティ商材の販売が思い浮かぶが、曽根氏は「製品自体を提案するのではなく、なぜ対策が必要なのか、どういう観点に注目して対策すべきかを伝える」ことが重要であり、フレームワークを活用しながら説明することによって、結果的に成約率も高くなると指摘する。
講演では、日本でも多くの組織が導入している代表的なフレームワークとして、米国国立標準研究所(NIST)の「NIST Cyber Security Framework(CSF)」や「NIST SP800」シリーズ、経済産業省の「サイバーセキュリティ経営ガイドライン」、米国非営利組織Center for Internet Securityの「CIS Control」が紹介された。
これらのうち、CSFとサイバーセキュリティ経営ガイドラインは、組織の人やプロセスに着目した基本的なコンセプトが中心となっているのに対し、SP800やCIS Controlは、システムやデータを保護するための具体的な方法を要件として規定する、よりテクニカルな内容になっているのが特徴となる。また、CSFは組織の現在のセキュリティ体制の成熟度や、目標とするセキュリティレベルをプロファイル化できる構成になっており、自社の現状と目指す水準の間にあるギャップを可視化し、段階的にセキュリティを高めていけるのが利点という。
同社では、IT運用管理ソフト「ManageEngine」シリーズを提供しており、各フレームワークで求められている機能要件を満たすためのさまざまなツールを揃えている。さらに、サイバーセキュリティ経営ガイドラインの実施状況を評価するためのチェックリストなど、フレームワークを実践するためのコンテンツを用意している。
最初からフレームワークを完全に理解するのは難しいが、それらのコンテンツを利用することで無理なく成熟度を高めていける。
