ここ数週、「予算の配分」「KPI」「1枚報告」と、セキュリティを“今どう回すか”の話をしてきました。
でも、多くの現場で最後にぶつかる壁はこれです。
「結局、どこまでやれば“十分”と言えるのかが分からない」
「やるべきことリストは山ほどあるけど、優先順位の付け方が腹落ちしない」
今日は、これを「3年の階段」に落とす話をします。
今年“やること”と同じくらい、今年“やらないこと”を決めるのがセキュリティ戦略です。
なぜ“完璧な姿”から考えると失敗するのか
セキュリティの教科書やベンダー資料を見ると、理想像はだいたいこうです。
- ゼロトラストが全社に行き渡っている
- 全ログが一箇所に集約され、相関分析されている
- 24時間365日で監視・対応できる体制がある
どれも大事ですが、「全部やろう」とすると、現実とのギャップが大きすぎて動けなくなります。
現場の本音はこうです。
- そもそも専任がいない
- レガシーシステムも委託先も混在していて、一気に変えられない
- 今年の予算も人も、限界ギリギリ
だから、“あるべき論”から逆算するのではなく、“今の筋力”から組める階段を設計する必要があります。
「3年×3レイヤー」でざっくり描く
おすすめは、3年を次の3レイヤーでざっくり区切ることです。
- 人と組織(誰が、どんな役割で守るか)
- プロセス(どういうルールと運用で回すか)
- 技術と仕組み(何のツール・基盤で支えるか)
NISTのCSF 2.0は、現状(Current Profile)と目標(Target Profile)を置き、ギャップを分析してアクションプランを作る、という進め方を示しています。
この「現状→目標→ギャップ→計画」の型を、あなたの組織サイズに合わせて3年分に薄く引き伸ばすイメージです。
3年の階段(テンプレ)
| 1年目:土台固め(穴を塞ぐ) | 2年目:見える化(早く気づく) | 3年目:自動化(選別する) | |
|---|---|---|---|
| 人・組織 | 実務ハブ1人を指名、月1ミーティング開始 | 代打(バックアップ)育成、プロジェクトに早期参画 | 内製/外部委託の線引き、キャリアパス言語化 |
| プロセス | 退職者停止フロー、最初の30分、年2回机上訓練 | 入口・検知・対応KPIを少数運用、1枚報告を定着 | 実事例で手順更新、学習報告を標準化 |
| 技術・仕組み | 特権棚卸し、MFA徹底、ログを散らばらせない | コアを1〜2個導入(ID/EDR等)、権限可視化 | ログ自動集約+最小限の相関、初動の部分自動化 |
補足:この階段は「成熟度の教科書」ではなく、予算会議で握るための設計図として使うのが目的です。
1年目:土台固め(“穴を塞ぐ年”)
人・組織
セキュリティの“名義上の責任者”ではなく、実務のハブになる担当を1人決めます(兼務でも良いが、役割は明文化)。
プロセス
退職者アカウントの停止フローを整えます(情シス任せにせず、人事との連携を紙1枚で決める)。
インシデント“疑い”の時に最初の30分でやることを決め、年に2回は机上訓練します。
技術・仕組み
特権アカウントと管理者権限の棚卸し、MFAの徹底。
ログを「どこに」「どれだけ」残すかだけ決めます(完璧なSIEMでなくていいので、まず“散らばらない”状態へ)。
1年目のゴールは、「明らかな穴」を塞ぎ、誰がハブかをはっきりさせることです。
ゼロトラスト完遂でも、最新ツール導入でもありません。
2年目:見える化と“早く気づく力”(“筋トレの年”)
人・組織
ハブ担当の“代打”を1人育てます(属人化させない)。
セキュリティが関わるプロジェクト(クラウド移行、SaaS導入など)に、早い段階から席を用意します。
プロセス
「入口・検知・対応」のKPIを各1〜2個に絞って回し始めます。
毎月または隔月で「1枚報告」を経営に上げ、下段に“今月決めてほしいこと”を必ず載せます。
技術・仕組み
EDRやIDaaSなど、“見張り”と“入口強化”のコアを1〜2個に絞って導入・定着。
重要なSaaSやクラウドについて、「誰がどの権限で入っているか」をダッシュボード的に見えるようにします。
2年目のゴールは、「起きていることが分かる」「起きた時に動ける」状態まで持っていくことです。
まだ“全自動”や“高度な相関分析”は狙いません。
3年目:自動化と“やらないこと”の明確化(“選別の年”)
ここまで来ると、「あれもこれも」はやめて、“やらないこと”をはっきりさせるフェーズに入れます。
- 内製で持ち続ける範囲と、外部(SOCやコンサル等)に任せる範囲を線引きする
- 実際に使った分だけ、インシデント対応フローを更新する
- ログの自動集約と、シンプルな相関ルール(“これが出たら必ず見る”)に絞る
- 自動化できる初動(特定アラートでのアカウントロック、端末隔離など)を少しずつ増やす
NISTのインシデント対応ガイド(SP 800-61 Rev.2)は、インシデント対応能力を作るには、方針・計画・手順の整備や、法務など他部門との連携線を含めて設計する必要があると述べています。
「ツールの高度化」に進む前に「権限・連絡線・手順」を固める、という意味で3年目の“選別”が効いてきます。
「今年はやらない」を宣言していい
大事なのは、3年の絵を描いたうえで、今年は“ここまでしかやらない”と経営と握ることです。
- 「ゼロトラスト全部」ではなく、「今年はIDとMFAだけ」
- 「全社EDR」ではなく、「まずは特定部門+重要端末だけ」
- 「24時間監視」ではなく、「営業日の業務時間+重大アラートだけ」
こう宣言しておくと、現場の罪悪感も薄れますし、責任範囲も明確になります。
そして、毎年「階段を一段上がったか?」だけを確認すればよくなります。
優先順位づけに迷うなら、CIS ControlsのImplementation Groups(IG)を“段階”の考え方として借りるのも手です(まずIG1から始め、IG2、IG3へと積み上げる考え方)。
問いかけ
御社のセキュリティは、3年後にどんな“現実的な姿”になっていればいいか、1枚で描けていますか?
「今年やることリスト」はあっても、「今年やらないこと」「来年以降に回すこと」が書かれていないなら、次の会議ではぜひ“3年の階段”から話を始めてみてください。
参考資料(リンク)
- NIST Cybersecurity Framework (CSF) 2.0(PDF)
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf - NIST SP 800-61 Rev.2 Computer Security Incident Handling Guide(PDF)
https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf - CIS Critical Security Controls Implementation Groups(IGの考え方)
https://www.cisecurity.org/controls/implementation-groups - CIS Implementation Group 1(IG1:Essential Cyber Hygiene)
https://www.cisecurity.org/controls/implementation-groups/ig1
