経営者による適切な関与に資するリスクマネジメントの実現

これらの環境変化は一過性のものではなく、多くの経営者は、従前のサイバーセキュリティへの取り組みからのアップデートを求められています。それでは、経営者はどのような関与の仕方を期待されているのでしょうか。経済産業省の「サイバーセキュリティ経営ガイドライン」（※1）においては、『サイバーセキュリティリスクを包含したエンタープライズリスクマネジメント（ERM）を実現することが必要であり、他のリスク領域も含めたリスクマネジメントとの一貫性を確保すること』を求めています。

多忙な経営者にとって、サイバーセキュリティリスクは組織が直面する数多あるリスクの一つであり、効率的・効果的な管理が求められます。また、セキュリティインシデントが発生すると、レピュテーションの低下や、自社の対策不備に起因して被害を与えた他組織から損害賠償請求を受けることもあります。このように、セキュリティリスクは他のリスク領域とも相互に関連するため、ERMの枠組みに組み込んで一元的に管理することが望ましいと考えられます。こうした一元的な管理の実現に向けたガイダンスとして、米国標準技術研究所（NIST）から、サイバーセキュリティリスクやプライバシーリスク等、個別で実施しているリスク管理を全組織体レベルのリスクマネジメントに統合することを目的とした「NIST SP800-221」（※3）がリリースされています。以下に、NIST SP800-221のポイントをご紹介します。

NIST SP800-221のポイント

1．ICTリスクにフォーカスした包括的なライフサイクルモデル

NIST SP800-221は、サイバーセキュリティリスクのほか、プライバシーリスクやサプライチェーンリスクを含む情報通信技術リスクマネジメント（ICTRM）について扱っています。ERMの視点からこれらのリスクを改善し、より広範なミッション、ビジネスゴールの文脈でICTリスクをより適切に特定、評価、管理できるようになることを目的とした文書です。ICTRMをERMに連携するための6ステップからなる包括的なライフサイクルモデルが定義されています。

• 1．コンテクストの識別：組織の内部および外部のコンテクストを把握し、リスクガバナンスを確立し、リスクアペタイト／トレランスを設定します。
• 2．リスクの識別：組織の資産やその脆弱性、潜在的な脅威やICT機会を特定したうえで、これらをICTリスク登録簿に記録します。
• 3．リスクの分析：リスク事象の発生可能性や潜在的影響を定性的および定量的に評価します。
• 4．リスクの優先順位付け：特定されたリスクの重要度や優先順位を決定します。
• 5．リスク対応戦略の策定と実行：リスクアペタイト／トレランスに基づき、費用対効果の高いリスク対応手段を選定し、実行します。
• 6．リスクマネジメントの監視・評価・調整：リスク登録簿に基づき、KPIやKRIを使用してリスクを継続的にモニタリングし、組織の戦略目標を達成するためにリスクマネジメント活動を調整します。

図：ICTRMのライフサイクルモデル
（出典：NIST SP800-221 筆者仮訳）

2．各種ベストプラクティスとの整合性の確保

NIST SP800-221は、ERMに関する代表的なフレームワークであるCOSO(トレッドウェイ委員会支援組織委員会)のERM FrameworkやISO 31000などとの整合性がとられており、既にERMが構築された組織へも円滑に導入できます。また、サイバーセキュリティ分野における代表的なフレームワークであるNISTのCybersecurity Framework(CSF)からも参照されており、整合性が確保されています。CSFに基づくサイバーセキュリティを検討している場合は、本書をもとにサイバーセキュリティリスクマネジメントとERMとの連携プロセスについて、理解を深めることができます。

3．リスク管理の理解および実践に向けた豊富な参考情報

NIST SP800-221は、ICTリスク管理の実践に向けて、具体例を豊富に提供しています。リスクガバナンスの役割と責任の割り当て、リスクアペタイト・リスクトレランスステートメント、リスク分析に用いる分析技法、リスク登録簿の様式／管理項目など、実装レベルを考える際の参考にできるでしょう。また関連文書であるNIST SP800-221A（※4）は、ICTリスク成果フレームワーク（ROF）を提供しています。ROFは、ICTのリスク成果を2つの機能（統治（GV）、管理（MA））に分類し、さらにそれぞれについて7つのカテゴリー、サブカテゴリーに詳細化（合計56）するとともに、サブカテゴリー単位で実装例を示しており、ICTRMの評価や改善に活用できます。

表：ICTリスク成果フレームワークの機能とカテゴリー
（出典：NIST SP800-221A 筆者仮訳）

高度なリスクマネジメントの実現に向けたテクノロジーの活用

NIST SP800-221は、ERMなど関連するベストプラクティスとの整合性を確保した、包括的かつ具体性をもつガイダンスです。SP800-221AのROFと併用することで、特に経営者が現場を直接見通すことが難しい大規模組織において、サイバーセキュリティリスクをERMに連携させる仕組みの構築や改善に有効です。

しかし、このプラクティスをある程度の規模の組織で実現しようとすると、全体の統制をとることの難しさや、対応工数の増加という課題に直面します。そのため、ガバナンスの仕組みの導入と併せて、テクノロジーの活用を検討する必要が出てきます。サイバーセキュリティリスクは、ITアセット上で顕在化するため、テクノロジーを用いて可視化しやすいリスク分野であるといえます。例えば、組織内外のITアセットの把握、ITアセットの有する脆弱性の分析・評価、各種ITアセット／セキュリティセンサーから出力されるログ分析など、自組織がどのようなリスク状態にあるかについて、追加の情報を入手できます。加えて、リスク管理運用そのものを効率化するテクノロジーにより、限られた人員リソースを有効活用できるようになります。サイバーセキュリティリスクを統合的に管理するガバナンスの仕組みとテクノロジーとを組み合わせることで、フィージビリティを担保した高度なサイバーセキュリティガバナンスが実現できます。

おわりに

NTT DATAでは、テクノロジーを活用したサイバーセキュリティリスクマネジメントに関するご相談を承っております。ガバナンスおよびテクノロジー両面の知見を有するコンサルタントが、経営者の皆様が実効性をもってサイバーセキュリティに関与できる状態の実現に向けた、リスクマネジメントの確立をお手伝いいたします。