KPMGにおけるOSCALのユースケース

この記事は、2022年3月にNISTが開催した「3rd Open Security Controls Assessment Language (OSCAL) Workshop 」の、Day2 Part3の公演内容をもとに、一部要約を行い、日本語に翻訳したものです。

Day2 Part3 では大きく2つのテーマについて公演が行われました。この記事では、KPMGによる「OSCAL 対応の商業セクターユースケースの結晶化」について紹介しています。

ぜひ、実際の資料は動画も確認しながらご覧ください（30:20 あたりから）。

自己紹介

KPMG では、このコミュニティに今日お話しできる機会をとてもありがたく思っています。私たちは以前からこのグループに関わってきましたし、ここに集まっている多くの皆さんや、市場全体で見られる注目度の高さを目にして、とてもわくわくしています。では、次のスライドを見ていただきましょう。まずは手短に私の自己紹介をします。

先ほどミケーラから紹介していただいたとおり、私はサイバーセキュリティプラクティスでマネージングディレクターを務めているアダムです。特に OSCAL には非常に興味を持っています。なぜなら、民間セクター向けのユースケースで、顧客やサービスプロバイダなどの間でアセスメント情報をきちんとやり取りする方法が必要だと痛感していたからです。後ほど詳しく触れますが、プライベートセクターには多様な課題があり、それらを OSCAL でどう解決していけるかをご紹介したいと思います。

アダム、ありがとう。トムです。私もこのイベントに参加できることをとても光栄に思っています。ここまでの他の発表者の方々が OSCAL を使って素晴らしい成果を出されているのを拝聴して、本当に刺激的です。私の自己紹介ですが、KPMG に来て 10年ほどになり、サイバー戦略とガバナンスの分野でディレクターを務めています。OSCAL は私が日々お客様の問題に取り組むなかで、非常に多くの場面で transformative（変革的）な力を持ちうると実感しています。では次のスライドに進めましょう。

本日お話しする内容は大きく分けて、まずは KPMG が OSCAL にどう関わってきたかを簡単に振り返ります。続いて“商用セクターでの問題事例”を取り上げたいと思います。ご存じのとおり、OSCAL は主に FedRAMP のような公共系ユースケースが出発点ではありますが、民間企業向けにも多くの可能性があるんです。

さらに私たちが“こういう機能があれば商用ユースケースにも適用しやすいのでは”という、いわば要望や貢献したい点を挙げてみます。そして 2022年に私たちが何をする予定なのかもお話しします。もし来年また呼んでいただければ、そのときに計画がどれだけ進んだかを検証していただけるでしょう。では次のスライドを。トムにバトンタッチしますので、まず背景を説明してもらい、その後また私が続きを話します。

OSCAL が解決する商用セクターの課題

私たちは数年にわたり OSCAL に取り組んできました。最初にこのフレームワークを知ったとき、当社のクライアントが抱える多数の課題を解決する強力な手段になりそうだと感じ、一気に興味を持ったのです。そして相当な時間を投じて OSCAL を活用したユースケースをいくつか開発してきましたが、市場ニーズの高い領域を優先して取り組んでいます。スライド右側に列挙されているのが私たちが重視している分野で、第三者セキュリティ、第四者セキュリティ、サイバー保険、プライベートエクイティ投資先のモニタリング、その他いくつかです。いずれも商用セクターの組織で OSCAL をもっと活用してもらうことが最終的な狙いです。後ほど、こうしたユースケースを一つずつご説明しますが、その前にまず一般的な“商用セクターの問題”を整理したいと思います。次のスライドをお願いします。

ここ数日、OSCAL がどういう問題を解決するかという話題が何度も出てきました。このスライドでは、商用企業が抱える主要な課題をざっとまとめています。そのなかで特に私が強調したいのが、まず“リスクが増大している”ことです。攻撃者の手口が高度化しているのはもちろんですが、企業同士のデジタル連携が進むほど、組織の境界が広がり、攻撃面が広がるわけです。

2つめは“アセスメント頻度の問題”です。商用企業の多くは、6か月に1回、あるいは3年に1回、場合によってはもっと稀な頻度でしかセキュリティ評価を回していません。しかし技術や脅威の移り変わりは速いので、そうした年1回や3年に1回では追いつかない。かといってリソースが限られているので、頻度を上げるのが容易ではない、というジレンマです。

3つめは“リスクを受容しがち”という問題。複雑で直しにくい脆弱性が出てきても、対策を後回しにしてしまう企業が少なくありません。どうせ解決できないから受容してしまおう、という態度ですね。そもそも現在のアセスメントモデルがリスク低減や改善を後押ししにくい構造になっている面があります。とくに組織の境界外にまたがる問題だと、さらに対策の状況をモニタリングできず、そのまま放置されるケースが多いです。こうしてサプライチェーン全体のリスクはますます高まります。では次のスライドを開いてください。ここで第一のユースケースをご紹介し、途中でまたトムから私に戻します。

第三者セキュリティ

私たちが最初に手がけたのは“第三者セキュリティ”です。実はこれがきっかけで私たちが OSCAL に引き寄せられたとも言えます。第三者セキュリティには、ベンダー数が増加して攻撃面が膨張している問題や、ベンダー側で大きな変更があっても把握が難しい問題、そしてセキュリティ投資が大きくても実質的にリスク軽減できていない、という深刻な課題があります。

ここで私たちは“年1回のアセスメントをした翌日に大きなインシデントが起きても、企業が把握できない”というのが実態だと指摘しています。たとえばSolarWindsのような事例が発生したとき、リアルタイムに近い形でベンダーのセキュリティ姿勢を把握できなければ、リスクが大きいまま放置されてしまう可能性がある。KPMG ではそうした課題に対応するために特許出願中のモジュール（CAM: Continuous Assessments & Monitoring）を開発し、主要な投資銀行と商用レンドプラットフォームの第三者関係で実証してきました。

次のスライドを見るとモデルの概念図があります。左側に描かれたフローを簡単に説明すると、ベンダー側のシステム・オブ・レコードから情報を収集し、OSCAL 形式に変換して顧客企業へ共有する。そして顧客企業の側ではそれを自動で取り込み、契約上の SLA と照合してリスクを可視化し、必要に応じてリメディエーションを促すといった形を想定しています。最大の特徴としては、まず拡張性が高いこと、さらにエージェント不要で環境依存が少ないこと、そしてデータドリブンなサイバーリスク分析や SLA 達成度管理が可能になる点、また GRC システムとの統合がしやすい点が挙げられます。私たちは第三者セキュリティ領域において OSCAL が“ゲームチェンジャー”になると大いに期待しています。

第四者セキュリティ

「次のスライドでは“第四者”の問題に進みます。これは第三者がさらに外部へ業務委託する形で、データがさらに先の組織に渡るケースです。複数の顧客データが同じ小さな下請け業者に集約される可能性もあり、そこが攻撃されると大きなリスクが顕在化する。しかし現状は第四者の存在を把握することさえ難しいし、そもそも契約上も完全には把握できない場合が多いです。

OSCAL の“継承（Inheritance）”の仕組みを活用すれば、SSP のどこが顧客の責任領域で、どこがベンダーのコントロールか、どこをさらに第四者が担っているかを明示でき、アセスメント結果も同様に整理できます。そうすると、顧客や監査者が“この部分は誰が責任を負っているか”を透明に把握できるので、不必要に干渉することなくリスクを管理しやすくなるわけです。KPMG としては、こうした思想をさらに発展させ、第四者セキュリティ問題に取り組むモデルを用意しています。」

サイバー保険

サイバー保険も興味深い事例です。ランサムウェアが蔓延する中で、保険会社は大きな損害賠償請求を抱えて苦戦しています。昔は比較的容易に保険加入できたのですが、いまや年間保険料として数十万ドルを受け取っていても、2百万ドル、500万ドルといったクレームが次々出れば、保険会社のビジネスモデルが崩れます。そこでアイデアとして、被保険企業が継続的にコントロールの状態を共有できるなら、保険会社はリスクをより正確に見積もり、割引や追加保証といった対応が可能になるのではないか、という発想です。

自動車保険で“安全運転デバイスを車に取り付けると割引”といった仕組みがありますが、あれをサイバー保険でもできるかもしれない。もちろん既存の保険でも、ポリシー更改時などに書類提出や自己申告を求める場合はありますが、年1回の提出だけでなく連続的に提供できれば保険会社にとってリスク管理しやすくなるでしょう。私たちはこうしたコンセプトでイベントを開き、業界の関心を集めており、今後の動きに注目しています。

プライベートエクイティ投資先のモニタリング

プライベートエクイティ（PE）が持つポートフォリオ企業のセキュリティを一括で把握するのにも、似た手法が応用できます。PE は多数の投資先を抱え、それぞれ独立したセキュリティ体制をとっているが、OSCAL を使えばコントロールの評価結果を共通フォーマットで収集し、上流で一元管理できる。無理に各投資先のシステム深部に介入しなくても、OSCAL でまとめられたアセスメントデータを見て“どの企業でどういうコントロールが弱いか”を早期に察知できるわけです。サイバー保険の例と同じく、データが集まればパターンを見出し、まとめて対策を促すことが可能になります。

商用ユースケースを支援するための課題

ここで“商用ユースケースにおいて、OSCAL をもっと活用しやすくするために何が必要か”をいくつか挙げます。たとえば ISO や CIS、PCI、HIPAA、HITRUST などを OSCAL カタログとして正式に整備できれば、多くの企業が馴染みやすいでしょう。次に、OSCAL でやり取りするデータに電子署名や改ざん防止機能を組み込み、正当性を担保する仕組みも求められています。さらにヒューマンリーダブル性、つまり人間が扱いやすいツールや可視化も必要ですし、脆弱性スキャナや SIEM といったセキュリティツールがネイティブに OSCAL を出力・受け取りできると大きな飛躍が期待できます。またスキーマをあまりフォークせずにどうやって簡易化するか、といった課題もあります。商用シーンだと巨大なカタログ全部は使わず、特定の範囲だけを適用したいケースが多いので、どう折り合いをつけるかというテーマが残っています。

私たちは 2022年中にさらに顧客や業界団体と連携し、OSCAL 対応のユースケース開発を推進する予定です。企業向けにこういう枠組みがあるよと情報発信し、興味を示す組織と一緒に具体的導入を進めたいと考えています。