この記事では、セキュリティ戦略、統合、ガバナンスの規範を確立または最新化する方法について説明します。 この規範は、セキュリティモダン化プログラム全体の方向性、調整、および継続的な監視を提供し、組織が断片化された制御を超えて、まとまりのある結果主導のセキュリティ体制に移行できるようにします。
セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ と 技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。
なぜこの規範?
多くの組織は、監査と外部コンプライアンスに優先順位を付ける従来のガバナンス、リスク、コンプライアンス (GRC) モデルを通じてセキュリティ ガバナンスに取り組みます。 必要に応じて、これらの従来の GRC アプローチでは、運用の中断、データ損失、回復コスト、評判の低下を引き起こす実際のインシデントのリスクを管理できないことがよくあります。
セキュリティ戦略、統合、ガバナンスの規範は、セキュリティをスタンドアロンまたは事後対応機能ではなく、組織の意思決定と運用の不可欠な部分にすることで、このモデルを最新化します。
この規範は、次の 3 つの重要な要素をまとめます。
- 戦略: ビジネス目標、リスク許容度、規制上の義務に合わせて、セキュリティの成果、優先順位、トレードオフ、および成功に関する対策を定義します。
- 統合: ビジネス戦略、運用モデル、テクノロジ環境、ガバナンス プロセス、および広範なビジネス エコシステムにセキュリティを埋め込みます。
- ガバナンス: 明確な意思決定権、アカウンタビリティ、測定、監視を通じて、セキュリティ プログラムを維持し、継続的に改善します。
効果的な戦略、統合、ガバナンスがなければ、セキュリティ プログラムには明確な方向性と調整が欠けていることがよくあります。 このギャップは、優先順位の低下、一貫性のない実行、無駄で重複した作業、インシデントの頻度と影響の増加、組織のリスクの増加につながります。
この規範を有効にするために、ゼロ トラスト原則は、すべてのセキュリティ規範と完全なセキュリティ ライフサイクル全体で一貫して適用されます。 分離された技術ソリューションを有効にするのではなく、SIG は決定、制御、および操作を共有セキュリティ モデルに合わせて調整します。
次の図は、セキュリティ戦略、統合、ガバナンスの規範で、セキュリティ規範全体と完全なセキュリティ ライフサイクル全体にゼロ トラスト原則を一貫して適用することで、セキュリティの回復性を実現する方法を示しています。
ミッションと成果
セキュリティ戦略、統合、ガバナンスの規範は、セキュリティ プログラムのライフサイクル全体にわたる方向性、統合、および監視を提供します。 これにより、組織は次のことが可能になります。
- 明確なセキュリティビジョンと方向性を設定する: ビジネス目標、リスク許容度、規制上の義務に合わせて、セキュリティの成果、優先順位、トレードオフを定義します。 組織にとって 優れた セキュリティの外観と、成功がどのように測定されるかについて、共通の理解を確立します。 必要に応じて、その理解を更新します。
- セキュリティを組織に統合する: ビジネス計画、テクノロジ戦略、アーキテクチャ、開発、運用、パートナー エコシステムにセキュリティを組み込んで、後から考えたりスタンドアロンの機能として扱ったりしないようにします。
- セキュリティの決定と投資を管理する: セキュリティチームとテクノロジ チーム全体で一貫した優先順位付けと実行を推進する意思決定権限、アカウンタビリティ、ポリシー、標準、成功対策を確立します。
- より優れた、より迅速なビジネス上の意思決定を可能にする: セキュリティ リスク コンテキストの中心的なハブとして機能し、リーダーが機会、リスク、コストのバランスを取り、新しいイニシアチブに対して「はい、安全に」と言うのを支援します。
- 優先順位付けとフォーカスの向上: ビジネスの優先順位を実用的なセキュリティ戦略、ポリシー、標準に変換して、チームが最も目に見える問題や緊急の問題ではなく、最も重要なリスクに集中できるようにします。
- 変化に適応する: 戦略、ロードマップ、アーキテクチャ、ガバナンスを継続的に更新して、進化する脅威、新しいテクノロジ (AI を含む)、規制の変更、ビジネスの優先順位の変化に対処します。
- インシデントへの影響を軽減する: セキュリティ プログラム全体の一貫性、調整、アカウンタビリティを向上させ、インシデントの頻度と重大度を減らし、復旧結果を改善します。
この規範を適用する方法
戦略、統合、ガバナンスの規範を効果的に適用するには、組織全体で明確な方向性、説明責任、および調整を確立することに重点を置きます。
-
ビジネスの優先順位とリスクに合わせてセキュリティ戦略を定義する
組織の目標、重要な資産、およびビジネスにとって最も重大なリスクを反映した明確な目標を確立する -
チーム全体のガバナンスとアカウンタビリティを確立する
セキュリティの取り組みが調整され、一貫して実行されるようにロール、責任、意思決定の構造を定義する -
一貫した実行をガイドするポリシーと標準を設定する
セキュリティコントロールとプラクティスが組織全体で一貫して適用されることを保証する明確な期待を提供します。 -
規範とイニシアティブ全体でセキュリティの取り組みを調整する
アーキテクチャ、運用、エンジニアリングの取り組みが、単独で運用するのではなく、共有された成果に向けて機能することを確認します。 -
進行状況を測定し、継続的に改善する
メトリック、リスク分析情報、運用フィードバックを使用して、有効性を追跡し、優先順位付けを推進し、時間の経過と同時に戦略を調整します。
組織の変更を管理する
この規範は、組織がチェックボックスコンプライアンスからビジネスに合わせたリスク管理に移行しながら、規制上の義務を果たすのに役立ちます。
この方法で最新化すると、低価値のコントロールに対する無駄な作業が削減され、アカウンタビリティが明確になり、適切なコンテキストを持つ適切な利害関係者によってセキュリティ上の決定が確実に行われます。 時間の経過とともに、セキュリティの運用が容易になり、より効果的で、より持続可能になります。
また、組織は、非効率的なコントロールの維持や、他の場所で行われた決定に対する説明責任の非公式な吸収など、従来の負担を軽減し、より明確で回復力のある運用モデルに置き換えることができます。
規範の役割とコラボレーター
この規範は、主に、方向の設定、組織へのセキュリティの統合、実行の管理を担当するセキュリティ リーダーシップによって所有されています。 大規模な組織では、これらの責任は正式な役割とプロセスに分散されます。 小規模な組織では、役割を組み合わせ、戦略をより非公式に開発することができます。 スケールに関係なく、進化する方法を文書化することを強くお勧めします。
一般的に、主なロールは次のとおりです。
- 最高情報セキュリティ責任者 (CISO)
- ビジネス情報セキュリティ責任者 (BISO)
- セキュリティ ディレクター
- セキュリティ アーキテクト
これらのロールは、セキュリティ戦略、統合とガバナンス、教育とエンゲージメント、インサイダー リスク管理、セキュリティ体制管理、セキュリティ コンプライアンス管理などの機能によってサポートされます。
効果的な配信は、組織全体の緊密なコラボレーションによって異なります。
- ビジネス リーダー は、優先順位とリスク許容度に関するコンテキストを提供します。
- 技術リーダーは 、セキュリティをテクノロジ戦略と運用モデルに統合します。
- アーキテクチャの役割 は、戦略を標準とガードレールに変換し、実現可能性に関するフィードバックを提供します。
- エンジニアリングチームと IT チームは、 実装とメンテナンスを通じて要件を運用化します。
- セキュリティ運用 (SecOps) は、インシデント、脅威、および攻撃者の行動からの継続的なフィードバックを提供して、戦略とガバナンスを通知します。
規範コンポーネント
セキュリティ戦略、統合、ガバナンスの規範には、一貫性のある測定可能なセキュリティ成果を保証する広範な機能セットが含まれています。
| 能力 | 詳細情報 |
|---|---|
| 継続的な優先順位付け | 次の要件に継続的に優先順位を付けます。 - ビジネスの連携: セキュリティがビジネスの実現者であることを確認します。 セキュリティに必要なビジネスの変更を促進します。 - テクノロジの整合: セキュリティ リスクの評価と管理を組織のテクノロジに合わせます。 - 設計によるセキュリティ保護と既定: セキュリティがすべてのシステムおよびプロセス設計に不可欠な側面であることを確認します。 - 設計/既定でプライバシーを確保する: プライバシーがすべてのシステムおよびプロセス設計に不可欠な側面であることを確認します。 - 設計/既定での準拠: コンプライアンスがすべてのシステムおよびプロセス設計に不可欠な側面であることを確認します。 |
| 継続的な計画 | 定期的に更新される意図的なセキュリティ ロードマップと成功メトリックを維持します。 |
| ビジネス/テクノロジの運用モデルの統合 | デプロイ後に制御を適用するのではなく、アイデア、ビジネス要件の定義、設計、ビルド、および操作にセキュリティを埋め込みます。 |
| エンタープライズ リスク統合 | セキュリティを統合して、リーダーシップ、規制機関、利害関係者にリスクを特定、管理、報告する方法を説明します。 |
| ライフサイクルと技術的負債管理 | 古い、サポートされていない、レガシ テクノロジからのセキュリティ リスクを管理します。 |
| 戦略的なセキュリティ シミュレーション | 定期的なシミュレーションを通じて、テーブルトップと危機管理プロセスを強化します。 |
| 主要なガバナンス コンポーネント | 組織構造、意思決定権限、アカウンタビリティ、ポリシー、標準、アーキテクチャ、ガードレール、コンプライアンス管理を定義します。 |
| セキュリティ インテリジェンスの共有 | 脅威インテリジェンスにビジネス コンテキストを追加し、セキュリティ、ビジネス、テクノロジの各チーム間で分析情報を共有します。 |
| 外部リスク管理 | サプライ チェーン、パートナー、オープンソース、合併と買収のリスクを管理します。 |
| 教育とエンゲージメント | セキュリティが重要な理由、必要な事項、および対処方法を組織全体のロールが理解していることを確認します。 |
| インサイダーリスク管理 | 意図的または意図せずに損害を引き起こす可能性のある承認されたユーザーからのリスクを管理します。 |
| セキュリティ運用の監視 | 体制管理、運用、アーキテクチャの監視を提供し、コントロールが効果的にデプロイされ、維持されているかどうかを測定します。 |
他の規範との連携
セキュリティ戦略、統合、ガバナンスの規範は、他のすべてのセキュリティ規範で機能します。 その役割は、責任を置き換えたり複製したりするのではなく、セキュリティ プログラム全体で一貫した結果を可能にし、統合し、優先順位を付け、監視する監視を提供することです。
| Discipline | 役割 |
|---|---|
| エンド ツー エンドのセキュリティ アーキテクチャ | 戦略とポリシーを調整された技術的アプローチに変換します。 これは、戦略が実用的で優先順位付けされ、テクノロジ チームに明確に伝達されることを保証するのに役立ちます。 |
| 技術戦略の規範 | 技術的な決定が、分離ではなく意図的に行われたトレードオフと共に、ビジネスの優先順位、リスク許容度、およびポリシーに一致することを保証します。 |
| 運用上の規範 | 運用シグナル (インシデント、検出、攻撃者の行動) をリーダーシップの決定に戻し、戦略と制御の継続的な改善を可能にします。 |
テクノロジの柱との連携
テクノロジの柱レベルでは、セキュリティ戦略、統合、ガバナンスの規範によって、次のことが保証されます。
- コントロールは、組織の戦略、ポリシー、標準に合わせて調整されます。
- 実装は時間の経過と同時に一貫しており、誤差はありません。
- 継続的な改善は、戦略、統合、ガバナンス全体にわたって推進されます。
これは、次のテクノロジの柱に沿っています。
- Identities: ID リスクの優先順位、アクセス ポリシー (特権アクセスを含む)、ライフサイクル標準、ゼロ トラストに合わせた成功対策を定義します。
- エンドポイント/インフラストラクチャ: エンドポイントとインフラストラクチャ プラットフォーム全体のセキュリティ リスクを管理するために、ライフサイクル、メンテナンス、提供終了の要件を設定します。
- アプリ: SaaS とカスタム アプリケーション全体で一貫したソーシング、開発、デプロイ、ライフサイクルの標準を確立します。
- データ: ビジネス価値とリスクに合わせて、データ保護の優先順位、分類、アクセス モデル、ガバナンスを定義します。
- ネットワーク: ネットワークの構成と制御が、従来のネットワーク リスクと最新のネットワーク リスクを管理しながら、ID 中心の戦略をサポートできるようにします。
- AI: セキュリティ戦略、スキル、ツール、ガバナンスを更新して、AI の使用と AI 支援の脅威によって発生するリスクに対処します。
次のステップ
CISO ワークショップを受講することをお勧めします。
CISO ワークショップは、セキュリティ戦略、統合、ガバナンスの最新化を加速するのに役立ちます。 ワークショップは、Microsoft Unified からのエキスパート主導のエンゲージメントとして利用できます。
利用可能なワークショップは次のとおりです。
- CISO ブリーフィング - 主要な学習とベスト プラクティスに焦点を当てた 4 時間未満のディスカッション。
- Full CISO Workshop - 追加の詳細、Microsoftケース スタディ、成熟度モデルのディスカッション、および参照モダン化計画を提供する 2 日間のワークショップ。
詳細については、カスタマー サクセス アカウント マネージャーにお問い合わせください。
CISO ワークショップは、一連のビデオとしてセルフサービスで利用することもできます。 詳細情報