スペシャリストが徹底分析セキュリティ課題を解決に導く3つのなぜ

「なぜなぜ分析」が組織のセキュリティレベルを高める

――1回の“なぜ”では、根本的な問題解決は図れない

組織がセキュリティレベルの向上にどう取り組むべきかを考える上で、参考になる手法として、トヨタ自動車が業務に活用している「なぜなぜ分析」をご存じでしょうか。これは、ある問題に対して“なぜ”起きたのかという問いかけを繰り返すことで、問題を引き起こした要因、さらにはその要因を引き起こしたより本質的な要因を探っていく分析手法です。この手法はさまざまな業務で利用でき、セキュリティ課題の解決を図る上でも非常に有効です。

ランサムウェア被害を例に考えてみましょう。被害に遭った場合、「なぜ被害に遭ったんだろう」と1回は“なぜ”を考えると思います。仮にVPNの脆弱性を突かれていたとすると、よくあるのが「VPNはもう使わず、ゼロトラストにします！」と結論づけるパターンです図1。これがとても浅い対応なのは、おわかりいただけると思います。なぜなら、ランサムウェアの侵入経路は、VPN以外にもリモートデスクトップやフィッシングメールなどさまざまあり、再発防止策として不十分だからです。そもそも「なぜVPNに脆弱性があったのか」という根本的な問題を解決しなければ、別のシステムを導入してもまた攻撃を受けるのではという不安が残ってしまいます。そこで、より効果的な対策を講じるために「なぜなぜ分析」を使いましょう、というのが今回のお話です。

ただし、せっかく分析をしても、VPNに脆弱性があった原因を情報システム担当者のせいにするなど、矛先が「人」に向いてしまうと組織としての課題は見つけにくくなります。そこで、ここからは要因を探る観点について解説します。

――3つの観点で“なぜ”を繰り返し、汎用的な対策につなげる

セキュリティにおいては、3つの観点から“なぜ”を繰り返すべきだと思っています。1つ目は、システム上の問題を探る「技術」の観点。2つ目は、運用・対応など現場プロセスの問題を探る「運用」の観点。そして3つ目は、組織の上位層が決断・変革すべき問題を探る「組織」の観点です図2。先ほどのランサムウェア被害を例に、3つの観点から実際に分析してみましょう。

「VPNの脆弱性が原因だったのでVPNを廃止します」というのは、技術観点のみで分析した要因と解決策です。ここで、脆弱性が残っていたのはなぜか、運用観点から分析してみます。すると、VPNが脆弱性管理の対象から漏れていた、という問題が見つかるかもしれません。そうなれば、対策としてIT資産の棚卸作業を改善するなど、より根本的な解決策につなげることができます。そこから、さらに問題の本質へ迫るために必要なのが組織観点です。脆弱性管理に漏れがあった要因を組織観点から分析することで、会社としての管理ポリシーに不備はなかったのか、という疑問が浮上します。もし、「PCはIT資産としてきっちり管理していたが、ネットワーク機器は管理が甘いかもしれない」といった問題が見つかれば、管理ポリシーを見直すなどの対策にまで発展させられるわけです。

このように組織観点まで深掘りできると、コストや人的リソースも考慮して組織的に対策の検討を進めることができ、より汎用的なセキュリティ対策につなげられます。

――SKYSEA Client Viewなどを活用し、対応フローをスムーズに

ここまでは、インシデント発生後になぜなぜ分析をする想定で話してきましたが、インシデント発生前に課題の検証・解決ができるなら、それに越したことはありません。そのための手法として、ペネトレーションテストがあります。これは、GMOサイバーセキュリティ byイエラエでも提供しているサービスで、ホワイトハッカーが実際にお客様のシステムに攻撃を仕掛けることでセキュリティ課題を発見するテストです。システムの脆弱性はもちろん、IDとパスワードの管理が甘いなど、運用観点から見た課題も報告します。

また、このテストではもう一歩踏み込んで、被害を最小限に抑えて早急にシステムを平常時の状態に戻す力、いわゆるサイバーレジリエンス能力も評価します^※1。ログを取得して脅威を検知し、アラート通知を受け取った担当者が対応にあたるという、一連の流れがスムーズに行えるかどうかを検証できるのです。仮に、ログを取得していなければ攻撃者の侵入に気づけませんし、取得していてもそれを監視していなければ対処できません。また、せっかく攻撃を検知しても、人的リソースが足りずに対応しきれなければ、やはり攻撃を食い止めることができません。このようにテストを通じて対応の流れを見直し、組織観点からの課題検証につなげることも大切です。

私たちの会社では、毎年多くの企業にペネトレーションテストを実施しており、約90％以上のお客様に対して攻撃が成功しています。原因は、ログを取得していなかったとか、攻撃をアラート検知するための設定が不十分だったとか、あるいは日々発生するアラートの量が膨大すぎて見切れなかったなど、お客様によってさまざまです。こうした課題を解決するには、SKYSEA Client Viewなどのセキュリティツールを活用し、攻撃を受けた際の対応フローを改善することが重要になります。

• サイバーレジリエンス能力の評価について、GMOサイバーセキュリティ byイエラエ株式会社ではペネトレーションテストの有償オプションとして提供しています。

対策を実行するカギは、“4つ目のなぜ”にある

――「セキュリティ対応組織の教科書」で業務を具体化する

ここまで、3つの観点から要因を分析する重要性を話してきました。しかし、見つけた課題への対応を、組織の業務として具体的に落とし込んでいくのは簡単ではありません。そこで役立つのが、私も所属する「ISOG-J（日本セキュリティオペレーション事業者協議会）」がWebサイト上に公開している「セキュリティ対応組織の教科書」です。これには、組織に必要なセキュリティ業務がA～Iのカテゴリーごとに計64項目まとめられています図3。この項目を参考に、組織でセキュリティ対策をどれほど実施できているか、あるいは今後どんな対策をしていくべきかを確認するのがお勧めです。

例えば、ログを取得していなかったということであれば、システム構築時の設計に問題があった可能性があります。これは、セキュリティの設計に関する問題なので、64項目の中の「A-8セキュリティアーキテクチャ設計」に当てはめることができます。また、資産管理ができていなかったということであれば、SKYSEA Client Viewなどのツールを使いこなして「E-2 資産棚卸」をもっと徹底しておくべきだった、と反省することもできます。このように、対応すべきさまざまな課題がどの項目に当てはまるのかを考えることで、具体的な業務に落とし込みやすくなり、担当する部署や責任者も明確にできるため、「誰が何をするのか」というところまで見えてくるはずです。

――「全社観点」がセキュリティ強化の後回しを防ぐ

ここで謝らなければならないことがあります。それは、ここまで3つの“なぜ”が重要だとお伝えしてきましたが、実はセキュリティ対策を講じる上で必要な“ 4つ目のなぜ”が最後に存在するということです。

やるべきことを具体的なタスクに落とし込めたとしても、実際にやり切れるかどうかは、その組織がどれだけセキュリティに重きを置いているのかで変わります。経営者の判断や社風、企業文化など、さまざまな理由でセキュリティ対策が最優先事項にならないこともあるでしょう。場合によっては「課題があるのはわかったけど、忙しいから後回しで」と判断されることもあり得ます。しかし、それではせっかく課題を把握できていたのに、同じ被害を再び受けてしまうなど、非常に悔しい結果になりかねません。そこで、先述した3つの観点よりも上位の観点から見た“なぜ”が必要になります。この4つ目の“なぜ”は、「全社観点」と名づけました。経営観点と呼んでもいいかもしれません。

会社全体としてセキュリティに取り組むようにモチベートするのは、とても難しいことです。経営層の意向に左右されたり、あるいは現場の方になかなか受け入れてもらえないということもあるかもしれません。こうした全社観点での課題を解決するヒントとなるのが、企業文化の分析です。

企業文化は、「ビジョン志向」か「データ志向」か、そして「外部志向」か「内部志向」かという2つの軸で4つの象限に分けることができます図4。ビジョン志向とは、抽象的な概念やメッセージ性を重視する会社で、もう一方のデータ志向とは、具体的な数字で語ることを重視する会社です。また、外部志向が顧客や市場からのフィードバックで組織の行動を変化させる会社であるのに対し、内部志向は社内で企画されたアイデアを基に組織を動かすのが得意な会社になります。

例えば、ビジョン志向かつ内部志向の会社では、自社がサイバーセキュリティに取り組む意義や、その取り組みが自社の理念に合っていることを大切にします。逆に、データ志向かつ外部志向の会社なら、サイバーセキュリティに取り組む予算・人員の妥当性や、他社の動向と比較した自社の立ち位置を重視するわけです。このように分析するだけでも、セキュリティ対策推進のために打ち出すべきメッセージが組織によって異なることをわかってもらえるのではないでしょうか。

――手法を使い分けながら、組織の意識・文化を変えていく

私が実際にGMOインターネットグループでセキュリティ対策を推進した方法をご紹介します。当グループには、自社の取り組みの意義を大切にする「GMOイズム」と呼ばれる経営理念があります。そこで私は、会社をビジョン志向かつ内部志向であると分析し、グループの代表にGMOイズムの改定をお願いしました。自分たちのためにもお客様のためにも、セキュリティに取り組むことを経営理念にしっかり明記し、企業文化をもう一段階成長させましょうとお話ししたのです。その結果、意見を代表から認められ、実際にGMOイズムを改定し、セキュリティへの取り組みを加速させることに成功しました。皆さんに注意してほしいのは、4象限の中の1つに絞ってアプローチすればいいわけではないということです。なぜなら、経営層の方は1人ではないでしょうし、それぞれの性格も異なるはずだからです。また、部署によって意向や考え方が異なることもあるでしょう。そのため、一番動き出しやすいところから取り組みを始めた上で、状況に応じて手法を使い分けていくことがポイントになります。当グループでも、最初はビジョン志向・内部志向から始めましたが、少しずつ別の象限からの施策も取り入れていき、セキュリティ課題に会社全体で取り組めるような意識・文化の改革を進めています。

皆さんの組織でもぜひ、「技術」「運用」「組織」に「全社」を加えた4つの観点から「なぜなぜ分析」を行ってみてください。きっと、より良いセキュリティを実現できるはずです。

• 図は、GMOサイバーセキュリティ byイエラエ株式会社の資料を基にＳｋｙ株式会社が作図

（「SKYSEA Client View NEWS vol.108 2026年5月掲載 / 2026年2月取材）