コードを解読する: Essential 8 フレームワークを運用化する方法

Essential Eight Framework とは何ですか? 

2023年11月、オーストラリア国家サイバー戦略は、「防御」戦略から「準備」戦略への戦略的移行を反映して更新されました。この戦略的変更は、オーストラリアのすべての産業界と政府機関に適用されます。この移行を支援するため、オーストラリア通信信号局（ASD）は、国家サイバーセキュリティ戦略の転換における重要な要素として、「Essential 8」コンプライアンスフレームワークを開発しました。これは、組織がサイバーセキュリティおよびリスクプログラムの成熟度を測定できるように設計されています。Essential 8には、コンプライアンス基準を定義するための8つの主要な基礎技術分野に統合された148のコントロールが含まれています。.

Essential 8の統合と可視性の課題

MicrosoftはEssential 8に大きな影響を与えており、明示的には述べられていないものの、多くのコントロールがMicrosoftのテクノロジーにマッピングされています。これはMicrosoftを悪く言ったり批判したりするものではなく、彼らの影響力は高く評価しています。しかし、現実にはすべての政府機関や企業がMicrosoft製品を使用しているわけではありません。彼らにとって、Essential 8の実装にはいくつかの課題があります。. 

継続的なコンプライアンス報告 

分散環境において、分かりやすいEssential 8レポートを効率的に実装することは、非常に困難です。組織は、Essential 8フレームワークに基づく、ポイントインタイムのリスク状況とリアルタイムのステータスの両方をレポートできる必要があります。Swimlane Turbineのような、ベンダーに依存しないセキュリティ自動化ソリューションは、このコンプライアンスレポートの課題解決に役立ちます。. 

Essential 8のリアルタイムダッシュボード 

コンプライアンスの課題を拡張すると、オーストラリアの組織は、Essential 8 に照らしてセキュリティ体制のベースラインを把握できるリアルタイム ダッシュボードも必要としています。このような多要素ダッシュボードに情報を入力する基本的な方法は 2 つあります。. 

1. 統合と取り込み – すべてのシステムを統合し、Essential 8 のコントロールと成熟度フレームワークに基づいてレポートするために必要なテレメトリを取り込みます。. 
2. 評価 - 組織のEssential 8のリスク態勢を検証するための環境尺度として機能する自動評価を作成します。評価の質問への回答はダッシュボードに入力されます。. 

Swimlane Essential 8ダッシュボードの舞台裏 

オーストラリアのお客様向けにSwimlaneのEssential 8ダッシュボードを構築した際に、これら両方の手法を検討しました。こちらをご覧ください。 デモビデオ 最終的な結果を見るために、友人であり同僚でもあるギャビン・コールサードからアドバイスをもらいました。興味があれば、このブログを読み続けて、その過程で得た視点や教訓をもっと詳しく聞いてみてください。. 

ダッシュボード構築における統合と評価の手法には、それぞれ長所と短所があります。私たちは、Essential 8のベースラインレポートを迅速に作成するために、評価手法を採用しました。このカスタム評価では、社内ツールとサードパーティツールをスキャンし、既存のテクノロジースタックと人間の洞察に基づく質問から情報を収集できます。Turbineのドキュメント取り込みと解釈能力により、この評価プロセスは私たちにとって最適な選択肢となりました。この初期監査は数日かかり、Essential 8フレームワークの成熟度に関する実証的証拠を含む監査証跡が作成されます。. 

Essential 8からマルチコンプライアンスフレームワークまで 

コンプライアンスの自動化と可視化の課題の複雑さは、Essential 8で終わるわけではありません。多くの企業やMSSPは、複数のコンプライアンスフレームワークに準拠する必要があります。自動化ソリューションプロバイダーとして、私たちの次の課題は、お客様にすべてのコンプライアンスフレームワークを一元管理できる記録システムを提供することでした。私たちの目標は、お客様が複数のフレームワークを一元的に管理できるソリューションを提供することでした。そのためには、それぞれのフレームワークのライフサイクルに応じて、それぞれのコントロールを理解し、監査する能力が必要でした。. 

課題を明確に把握し、リファレンスソースも確立したので、構築の準備は万端です。この話の技術オタクは私ではなく、アーキテクトのギャビン・コールサードです。彼は、NISTコンプライアンス管理のために独自の環境を構築したCISOが用意したレポート機能を活用し、約2週間でマルチコンプライアンス対応の自動化ソリューションを構築しました。. 

Swimlane マルチコンプライアンス自動化ソリューションのユニークな点は何ですか? 

確かに良さそうですが、実際はそう単純ではありません。この分野に詳しい方なら、当然ながらいくつか疑問に思う点があるでしょう。「既にこれを実現する製品はあるのではないですか？」 

その答えはイエスであり、ノーでもあります。. 

• はい - 特定のコンプライアンス管理製品が存在します。ほぼすべての製品には、いわゆる「コンプライアンスのスイートスポット」があります。これは、特定の業界に特化したコンプライアンスから進化した製品であるためです。これらの製品は高度に専門化されており、法規制によって導入が義務付けられている業界向けに設計されています。典型的な例として金融サービスが挙げられます。金融サービス業界では、業界の一部が厳しく規制されており、コンプライアンスはそうした法律を施行するためのツールとなっています。. 
• いいえ ほとんどのソリューションは、すべてのコンプライアンスフレームワークやテレメトリソースを統一されたビューに統合することを目指していません。複雑さを統合、相関付け、合理化するというまさにこの課題こそが、Swimlaneの強みです。柔軟性と高度に構成可能なユーザーインターフェースこそが、Swimlane Turbineを他のセキュリティ自動化ソリューションと差別化する2つの特徴です。これらこそが、Turbineが多様なユースケースを自動化し、最大のROIを実現できる理由です。.  

コンプライアンスは今後も維持されるので、自動化しましょう。. 

この動きはまだ始まったばかりで、規制環境の変化は経費の増加を加速させる一方です。コンプライアンスの素晴らしい点は、それを積極的に取り入れ、管理すれば、組織の効率性と成功の鍵となることです。言い換えれば、表面上は必要な経費とみなされているものが、組織の効率性と潜在能力を解き放つ鍵となるのです。.  
この可能性を解き放つ鍵は、コンプライアンスを完全に統合・統一された方法で管理することです。セキュリティ自動化こそが、それを実現する方法です。仕組みについて詳しくは、デモをご依頼ください。 swimlane.com/デモ