東南アジア日系企業におけるオペレーティングモデルに着目したサイバーセキュリティ強化

サイバーセキュリティを取り巻く状況

2024年5月に公開した前著「ビジネスにおけるサイバーセキュリティの役割の変化とランサムウェア攻撃への対応」では、サイバーセキュリティがITの枠を超えたビジネスの問題へと変化し、ビジネスの成否を左右する重要な役割を担っていること、また特に注意すべき脅威であるランサムウェアとその対策について概説しました。

ランサムウェアをはじめとする高度化するサイバー脅威に対して、当然ながら防御側も無為無策でいる訳ではありませんが、総体としては圧倒的な攻撃側有利とされるサイバー空間における攻防が形勢逆転するには至らず、また今後の見通しも暗いといえます。

インシデントの発生状況に関する実態として、デロイトの調査「2023年 Global Future of Cyber Survey」でも、91％の組織が少なくとも1件以上のサイバーインシデントが発生したと回答しており、また6件以上のインシデントが発生している組織も55%に上ります。

90%を超える組織がインシデントを経験していることや、侵害の発生から検知または実被害の発生まで一定のタイムラグがあることを考慮すると、インシデント発生が0件だったと回答している組織（全体の9％）についても、実際には侵害が起きているにも関わらず、認識ができていない状態だっただけである可能性を否定できません。昨今のビジネスにおいては、一般常識としてサイバーインシデントはいつか必ず起こるという前提に立つことがあるべき態度といえます。

サイバーオペレーティングモデル見直しの必要性

ではサイバーセキュリティ強化はどのように進めるのが有効でしょうか。都度発生するイベントに対する対処療法的なアプローチでは、個別対策をいくら積み重ねても、攻撃者側とのいたちごっこの域を抜け出せず、効果は長続きしません。一方で、ビジネス環境やIT環境の変化、新たな法令・規制要件、システムの脆弱性・ヒヤリハットを含めたインシデントの発生など、サイバーセキュリティの担当部門が対処すべきイベントは次々に発生するため、これらへの対応で手一杯となってしまうのが、多くの組織でみられる現場の実態です。

サイバーセキュリティ人材の確保が恒常的な課題となっている現状において、膨大なタスクを迅速にかつ臨機応変にこなす必要がある現場のオペレーションには、様々なひずみが生じてしまっています。このひずみが外部脅威と組み合わされることによりインシデントの発生という結果に至ります。人材面ではモチベーションやリテンションの低下を引き起こすことも懸念されます。

これらの状況を鑑みると、個別対策の良し悪しや過不足以前に、その対策が本来持っている機能を発揮するための環境が整えられていない可能性が考えられます。ゼロトラスト、サイバーレジリエンスといった衆知を集めたベストプラクティスおよびそれらを実現させるためのテクノロジーを活用しているにも関わらず、全体としてサイバーセキュリティ対策の現状に満足できていない組織も多いかと思われます。これらの組織においては、個別対策が機能し、現場の運用が着実に行われるための基盤であるオペレーティングモデルに着目しこれを見直すことが、前轍を踏まずに最も根本解決に近づくシンプルなアプローチとなり得ます。

オペレーティングモデルは、自組織の持つケイパビリティや組織構造がどのように機能して価値を生み出しているか明確にし、組織が策定した戦略を実際にどのように実行するか、そのブループリント（青写真、設計図）となるもので、様々なプロセスで活用できますが、サイバーセキュリティにおいても有用です。

特に東南アジアの多くの日系企業においては、日本HQからのディレクションや自組織の役割・機能（東南アジア地域の地域統括拠点等）などに従ってサイバーセキュリティ戦略を策定しているケースが一般的ですが、策定した戦略が本当に実行可能かという観点からは、そのフィジビリティが担保されていないケースが散見されます。

また日本人マネジメントや日本HQからは言語の壁もあるため、現場の状況を逐一把握することが困難なケースも多いですが、オペレーティングモデルの整備・見直しにより、これまで把握できていなかったケイパビリティや組織構造を可視化するとともに、表面的ではないより本質的な問題点の所在の把握を助けることが期待されます。

オペレーティングモデル見直しのポイント

サイバーセキュリティにおいて目標とするオペレーティングモデル（サイバーターゲットオペレーティングモデル、サイバーTOM）は組織のおけるサイバーセキュリティのビジョンと戦略に沿って策定される必要があります。また、策定したモデルを現場の運用レベルに落とし込むため、戦略実行のためのロードマップ（タイムラインや担当者、役割分担等を含むもの）や、日常業務レベルの運用マニュアルとして、さらに詳細を定義していきます。

オペレーティングモデルの策定・見直しにおいて考慮すべきポイントは多岐に及ぶため、検討すべき要素が構造的に整理されたフレームワークを活用することが推奨されます。このフレームワークを活用することにより最新の知見とベストプラクティスにもとづき、必要なケイパビリティ等の網羅的な検証を行うことや、組織の構造や成熟度、目指すべき姿等に基づき重点ポイントを設定し、これに特化した見直しをすることが可能となります。

最後に

サイバーセキュリティの世界においては高度な取り組みに限らず、当たり前・最低限と位置づけられる取り組みにおいてもルールどおりに運用を継続できず、あるべきレベルを保てないといった例は枚挙に暇がありません。（サイバーセキュリティの管理や運用に携わられたことのある方であれば、例えば情報資産管理やパッチの適用、特権アクセスの制限などといった場面で思い当たる節がある方も多いのではないでしょうか）

これらの実態やサイバー脅威の動向を鑑みると、サイバーインシデントが今後も多くの組織において発生してしまうことは想像に難くありません。目に見えづらく、触ることができないサイバー脅威に対しては、必要以上に不安が煽られ、また様々なステークホルダーによる合意形成の過程において、対策が過剰になってしまうという一面があるように感じられます。しかし、これにより現場の負荷が上がり、運用があるべきレベルを保つことができなくなってしまっては、本末転倒となってしまいます。組織のマネジメント層には現場の運用にまで踏み込んだ検討を行い、フィジビリティの高いオペレーティングモデルを確立することが要請されているといえます。

本稿では、オペレーティングモデルに着目したケイパビリティやリソースの最適化によるセキュリティ強化アプローチについて整理しました。本稿が貴社のサイバーセキュリティレベル向上のヒントにとなれば幸いです。

また、デロイトではデロイトのサイバーTOMフレームワークを活用したオペレーティングモデルの策定、見直しを支援いたします。詳しくは、デロイト トーマツのプロフェッショナルまでお問い合わせください。