見出し画像

OODAループと情報セキュリティ~PDCAサイクルと比較してみた~

Cyber NEXT

皆さんこんにちは。セキュリティコンサルタントの高野です。

情報セキュリティにおける改善活動、と聞くと、何を思い浮かべますか。多くの方はPDCAサイクルを思い浮かべたのではないでしょうか。
PDCAサイクルは、情報セキュリティマネジメントシステム(ISMS)を構築・運用する際に非常に有効なフレームワークです。ISMSは、組織の情報資産を保護するための体系的なアプローチを提供します。
しかしこのPDCAサイクルにはデメリットも存在します。計画・実行・確認・改善の各ステップを経るため、特に大規模なプロジェクトや組織全体に適用する場合、改善までに時間を要する点があることです。迅速な対応が求められる状況では、PDCAサイクルのプロセスによりセキュリティ対応の遅延を引き起こす可能性があります。

そこで今回取り上げたいのが、「OODAループ」という迅速な意思決定を行うためのフレームワークです。多くのビジネスシーンで使われているこのOODAループですが、情報セキュリティでも活用できる考え方として注目されています。

本日は、OODAループの情報セキュリティでの活用方法について考えていきたいと思います。


OODAループとは

OODA(ウーダ)ループとは、以下の頭文字をとった、迅速な意思決定を行うためのフレームワークです。
Observe(観察)
Orient(状況判断)
Decide(意思決定)
Act(実行)

もともとは、アメリカ空軍のジョン・ボイド氏が提唱した意思決定の考え方で、戦略的思考のフレームワークとして登場しました。名前に“ループ”とある通り、状況に応じてOODAを繰り返すことで、柔軟な対応を行うことに繋がります。

OODAループとPDCAサイクルの違い

OODAループとPDCAサイクルは、どちらも意思決定や改善のプロセスを示すフレームワークですが、プロセス構造や目的などが異なってきます。違いを整理することで理解を深めていきましょう。

違い① プロセス構造

まず、大きな違いとして、プロセスの構造が異なります。

・OODAループ
Observe(観察)、Orient(状況判断)、Decide(意思決定)、Act(実行)

・PDCAサイクル
Plan(計画)、Do(実行)、Check(確認)、Action(改善)

プロセス構造の違い

違い② 時間的な視点

また、OODAループの一回のループと、PDCAサイクルの一回のサイクルは要する時間に違いがあります。

・OODAループ⇒短期間での迅速なサイクルを重視し、状況の変化に即座に対応することが求められます。

・PDCAサイクル⇒より長期的な視点での改善を目指し、計画から実行、評価、改善を繰り返すことで、持続的な成長を図ります。

違い③ 意思決定のアプローチ

それぞれのフレームワークでは、意思決定のためのアプローチが異なります。

・OODAループ⇒状況に応じた柔軟な意思決定を重視し、環境の変化に迅速に適応することが求められます。
・PDCAサイクル⇒計画に基づいた体系的なアプローチを重視し、データに基づいた評価と改善を行います。

フレームワークを使い分ける

OODAループとPDCAサイクルを比較しましたが、二つの用途は似て非なるものであり、フレームワーク間に優越はありません。状況に応じて二つのフレームワークを使い分け、情報セキュリティに取り組む必要があります。

<OODAループが適している場合>
迅速な意思決定が求められる場合
 ・インシデント発生時の対応
 ・日々変化するサイバー攻撃への対応

<PDCAサイクルが適している場合>
プロセスの効率化や品質向上を目指す場合
 ・セキュリティポリシーの定着
 ・組織全体のセキュリティポリシーや手順の見直し
 ・セキュリティ人材の強化

OODAループと情報セキュリティ

OODAループがどのようなものか、なんとなくイメージはついてきましたでしょうか。ではここからは、情報セキュリティにおけるOODAループの活用例を考えていきましょう。

<ケーススタディ>
ある企業は、ランサムウェアに感染し、業務サーバーが暗号化されてしまいました。この状況に対処するため、OODAループを適用しました。

① Observe(観察)
最初のステップでは、発生したインシデントの正確な情報を収集します。本ケーススタディでは、以下の様な情報を収集するところから始まります。

<収集する情報>
・サーバーの用途、所在地
・感染サーバーの直近の作業内容
・セキュリティ製品のアラート詳細
・ネットワークトラフィックの異常

② Orient(状況判断)
次に①で集めた情報や、以下に記載の情報をもとに、インシデントの業務影響の範囲などの被害の規模から、トリアージを実施します。

<インシデントの被害範囲の判断基準>
・被害を受けたサーバーに含まれる情報資産の重要度
・影響を受けたシステムやデータの重要性を判断
・過去の攻撃パターンと比較し、今回の攻撃の特異性を評価

③ Decide(意思決定)
②の分析結果をもとに、対応方針を検討します。インシデント規模に応じて、組織の責任者も交えて判断を行うことが大切です。今回のケースでは、個人情報漏えいは含まれておらず、業務継続(=復旧)を最優先とする方針とし、バックアップファイルからのリストアで対応することにしました。状況によっては、代理のシステムを構築するといった判断をするケースも考えられます。

<インシデントの対応方針例>
・ランサムウェアの感染と、個人情報は含まれない旨を会社HPにて報告
・フォレンジックの実施による侵入経路の特定
・身代金は支払い拒否
・復旧の実施(システムの再構築/バックアップからのリストア)

④ Act(実行)
企業は③で決定した対応方針で対応を進めます。実行に移すことで新たな課題を発見した場合は、1つ目のステップに戻って再びOODAループを回しましょう。

この様に、セキュリティインシデントといった、迅速な対応/判断が求められる場面では、このOODAループが適しています。
また、OODAループの効果を発揮するためには、事前の準備が大切です。特に②Orient(状況判断)、③Decide(意思決定)では、インシデントレベルを定義し、それぞれどのような判断を行うのか事前に決めておくことが迅速な意思決定に繋がります。

さいごに

今回、情報セキュリティ対策に活用できるフレームワークである、OODAループをご紹介してきました。ぜひ皆様の組織に置き換えてみて、どのように適用できるか考えてみてください。
OODAループの活用が、迫りくるセキュリティ脅威への対応の推進に繋がることを願っております。

執筆者:高野