意味のないセキュリティ対策をやめるために、「アウトカムベースセキュリティ」が有効なワケ：目的が明確なセキュリティ対策を

巧妙化するサイバー攻撃に対抗するために、多くの企業が対策を行っている。だが、その対策は本当に意味があるのだろうか。企業の目標に寄与するのだろうか。これらを明確にするためのアプローチ「アウトカムベースセキュリティ」に注目が集まっている。

[PR／ITmedia]

PR

　テレワークの普及やデジタルトランスフォーメーション（DX）の推進、ランサムウェア被害の多発など、企業はさまざまな要因からセキュリティ対策の重要性をあらためて認識するようになった。

　しかし、自社にとって“最適な”セキュリティ対策を見つけ、それを実行するのは簡単ではない。これの実現には「会社にとってセキュリティはなぜ大事なのか」を明確化する必要がある。

　フィンランド・ヘルシンキに本社を構えるサイバーセキュリティテクノロジーのプロバイダーであるF-Secureの企業向けセキュリティ事業が独立してできたWithSecureはこのような企業の課題に対し、「アウトカムベースセキュリティ」を提唱している。これは、企業が自社の目指すビジネス成果（アウトカム）に合ったセキュリティを手に入れるのを支援するものだ。アウトカムベースセキュリティ策定の中心人物ともいえる、WithSecureのクリスティン・ベヘラスコ氏（CISO《最高情報セキュリティ責任者》）に、同アプローチの狙いや概要、実践方法を聞いた。

脱“セキュリティのためのセキュリティ”

　ベヘラスコ氏は2008年にF-Secure（当時）に入社し、2022年にWithSecureのCTO（最高技術責任者）に、2023年1月にCISOに就任した。WithSecureのセキュリティ研究チーム「WithIntel」を率いて、著名なセキュリティリサーチャーであるミッコ・ヒッポネン氏らと共に、組織をいかに保護し、守るかを考えている。

　ベヘラスコ氏によれば、アウトカムベースセキュリティには脅威ベースや資産ベース、あるいはリスクベースといった従来のセキュリティ対策から、「オペレーション効率の最大化」「ビジネスアジリティーの向上」「顧客からの信頼」といったビジネス成果を起点に対策を講じるように変革を促すという目的がある。

図1　アウトカムベースセキュリティとこれまでの脅威、資産、リスクベースのセキュリティの違い（出典：ウィズセキュア提供資料）

　同氏は「アウトカムベースセキュリティを策定する際に、『企業はサイバー脅威に対して一歩引いて考えるべきではないか』という考えがありました」と話す。この「一歩引いて考える」というのは、セキュリティの根本である「われわれはなぜセキュリティ対策を講じる必要があるのか」という問いにつながるという。

WithSecureのクリスティン・ベヘラスコ氏

　「現代のセキュリティは『新たな脅威や脆弱（ぜいじゃく）性が生まれ、新たなセキュリティソリューションが開発される』の繰り返しです。企業が受け身になって脅威や脆弱性が出るたびに新たなソリューションを買い足していたらキリがなく、現場は混乱するでしょう。企業は『自社に本当に必要なものは何か』をはっきりさせる必要があります。多くの企業がセキュリティ対策で『なぜ』を忘れている現状に対するリマインダーとして考えたのがアウトカムベースセキュリティです」（ベヘラスコ氏）

　アウトカムはビジネスで達成したい“成果”であり、セキュリティはあくまでその達成をサポートするものだ。決して「セキュリティのためのセキュリティではない」とベヘラスコ氏は念を押す。

　セキュリティ対策に投資する中で、有用だったセキュリティソリューションも時代の変化に伴って不十分になったり、他のソリューションや運用でカバーできるようになったりするケースがある。だが、多くの企業は投資へのリターンを求めており、その結果として古い運用にしがみつき、無駄なセキュリティ対策を継続するなどの事態が起こる。

　「一歩下がって全体を見てみましょう。目指すべき成果に基づいて動いているかどうかを自問自答しましょう。経営層だけでなく現場も『成果をベースとしたマインド』を持っていれば、本当に必要なセキュリティに気付けるはずです」（ベヘラスコ氏）

　メンタリティーのパラダイムシフトを促すことが、アウトカムベースセキュリティの神髄だ。

経営者とセキュリティ担当者の“共通言語”となるフレームワーク

　「経営層が理解できる言葉や概念でセキュリティを考える」という意味で、アウトカムベースセキュリティは有用だ。しかし、現場のセキュリティ担当者にとっては抽象的な概念になってしまいがちだ。

　そこでベヘラスコ氏は、アウトカムベースセキュリティをより具体化し、経営層だけでなく全従業員が認識を共有するための“共通言語”として使えるフレームワークを考案した。それが「Security Outcome Canvas 1.0」だ。

　Security Outcome Canvas 1.0は「1枚のシートを幾つかのブロックに分け、1つずつ項目を埋める」というプロセスを通して、企業が達成したいビジネス成果とそのために必要なセキュリティ成果を明確化する。これをベースに会話すれば、経営トップから従業員までが目標を共有できる。

図2　WithSecureの本社があるヘルシンキで開催されたカンファレンス「SPHERE 23」でベヘラスコ氏が発表したSecurity Outcome Canvas 1.0。右下から反時計回りに「Business Outcomes」「Primary Risks」「Major Opportunities」「Security Outcomes」「Key Initiatives」「Key Resources」「Cost」といった項目が並んでいる（出典：ウィズセキュア提供資料）

　Security Outcome Canvas 1.0は図2の右下にある「Business Outcomes」から反時計回りに項目を埋めていく。各項目と埋める際のポイントは以下だ。

1．「Business Outcomes」（ビジネスの成果）

　企業が事業を実施する上で目指すべき“成果”を「Business Outcomes」に記載する。その際、会社の戦略を支える根本的な目標を3〜4つピックアップする。企業によってビジネス成果は異なるが、例としては「業界における信頼性の向上」「サービスのダウンタイムをなくす」「高い顧客満足度」などがある。

2．「Primary Risks」（成果を達成する際の主なリスク）

　「Business Outcomes」を実現する上での主要なリスクを記載する。これはCISOとして把握しているリスクというよりも、ビジネス成果の実現を阻む可能性のあるリスクを明らかにする目的がある。記載するリスクは多くても5つにとどめる。例としては「パートナー／顧客へのサプライチェーン攻撃」「データ漏えい」「インフラ制御の喪失」「サービスの中断」などだ。

3．「Security Outcomes」（セキュリティの成果）

　ここでは「ビジネス成果を妨げるリスクを解消するための具体的なセキュリティ成果」を記載する。例としては「全社でセキュリティに対するマインドシェアを高める」「DevSecOpsの実践に向けてシフトする」などだ。

4．「Major Opportunities」（主要な機会）

　この項目は「Security Outcomes」に直接つながらなくてもいいので、成果の実現に向けてセキュリティを改善できるチャンスを記載する。例えば、ある部門で「Webサイトを新しくしたい」「システムを刷新したい」といった要望があれば、そのタイミングはより安全でより良い仕組みを構築するチャンスだろう。この他、「クラウドサービスの導入」「財務プロセスの刷新」などがある。

5．「Key Initiatives」（主な取り組み）

　図2の左のエリア（5、6、7）はより具体的な情報を記載する項目だ。「Key Initiatives」は既に実施しているか、計画中の取り組みを記載する。その際、「Security Outcomes」の実現に必要な取り組みだけを挙げる。自社単体でできることはもちろん、サードパーティーやMSSP（Managed Security Service Provider）、コンサルタントと一緒に実施する取り組みを記載してもよい。例としては「外部監査」「インシデントガバナンス」「アプリケーションのSaaS（Software as a Service）化」などがある。

6．「Key Resources」（主なリソース）

　ここでは「Security Outcomes」を実現するための技術やプロセス、人といったリソースを記載する。これを明確にすることで、重複した技術や目標と現状のギャップ、セキュリティ対策に担当者が過不足なくアサインされているかどうかなどが明らかになる。例としては、技術では「WithSecure Cloud Protection for Salesforce」「WithSecure Elements Collaboration Protection」「サイバーアウェアネストレーニングプラットフォーム」が、プロセスでは「請求書発行」や「ベンダー管理」が、人では「外部の監査人」「CISO」などが挙げられる。

7．「Cost」（コスト）

　最後は「Key Resources」で挙げたものにかかるコストを具体的な金額で埋めていく。コストを理解することで企業が目指す成果を実現できる可能性が高まり、それを阻むリスクを下げられる。例としては「外部コンサルタント費用○○円」「CISO事務局給与☆☆円」「MDRサービス契約△△円」「トレーニングプラットフォーム利用料□□円」などだ。

図3　一般的な企業を例に1〜7を埋めた完成形のSecurity Outcome Canvas 1.0。あとはこれに基づいてアウトカムベースセキュリティを実践する（出典：ウィズセキュア提供資料）

　「大企業だけでなく、中堅・中小企業においても Security Outcome Canvas 1.0を埋めていくことで企業が進みたい方向を明確にでき、達成したいことや必要なものを明らかにできるでしょう」（ベヘラスコ氏）

　WithSecureはアウトカムベースセキュリティを広げるべく、日本国内でもコンサルティングをはじめさまざまなサービスを展開している。ソリューションを“決め打ち”で考える前に、自社にとって何が必要なのかを考え、それを実現できるパートナーやソリューションを“自らの考え”の基に手に入れることが大切だ。