サイバーレジリエンス: CISOs は理解すべき企業の必須要件
2021年5月、コロニアル・パイプラインがダークサイド・ハッカーの標的となった際、CEOのジョセフ・ブラウントは440万ドルの身代金を支払うという非常に物議を醸す決断を下した。この攻撃により米国の重要なインフラが危機にさらされ、ジョー・バイデン大統領への毎日のブリーフィングにつながった。ブラウントは、身代金支払いを国家にとって必要なものと正当化し、この決断を自身のキャリアで最も困難なものの1つであると述べた。 「私たちは苦境に立たされ、どの企業も直面したくないような難しい選択を迫られた」と、ブラウントは米国上院国土安全保障・政府問題委員会で証言した。 2023年にはランサムウェアの支払額が過去最高の11億ドルに達するなど、企業リーダーにとってこのような難しい選択が頻繁に行われるようになってきている。 攻撃が発生するか否かが問題なのではなく、いつ発生するかが問題であると理解する CSO や CEO も増えている。 「私にとって最も大きな変化は、攻撃が起こることを完全に受け入れるようになったことだ」と、ISTARIとオックスフォード大学が発表した報告書によると、40億ドルの欧州企業のCEOは述べている。「信じてほしいが、攻撃が起こることを受け入れる組織と、攻撃を撃退できると考える組織では、アプローチに根本的な違いがある」 情報漏えいの必然性を受け入れるという考え方により、企業は今日よりもサイバー攻撃への耐性を高めることができる。 多くの場合、企業はレジリエンスを規制当局へのチェックリスト作成作業と捉え、攻撃後に本当に立ち直るために必要なものをすべて CISO に提供することを怠っている。 RapidFort の CEO であるファリマーニ氏は、サイバーセキュリティ事件に耐えて回復する能力は、コンプライアンスを超えた考え方の転換が必要だと語る。 「確かに、重要なソフトウェアとデータのバックアップは完了している、というチェックボックスに常にチェックを入れてきたが、不測の事態が発生した場合に迅速に復旧できるだろうか、それとも2週間かかるだろうか? そのようなシステムがすべて正常に機能していることを常に確認できているだろうか?」とファリマーニ氏は CSO に語っている。 4月に発表されたバラクーダのレジリエンスに関する報告書によると、サイバーリスクへの対応能力について1から10の数字で評価するよう求められた際、ITセキュリティのリーダーの多くは悲観的な見方を示した。金融サービス機関が最も準備が整っているようで、55%が自社のセキュリティ体制を非常に有効であると評価した。一方、工業および製造部門で事業を展開する企業の32%のみが楽観的な見方を示し、小売業ではその数字は39%であった。一般的に、小規模な企業ほどサイバー脅威への対応に自信がない。 地政学的な不安定さ、人工知能、富の不平等の増大に伴い、最高情報セキュリティ責任者(CISO)は、組織のサイバー防御をさらに強化するだけでなく、サイバー攻撃が発生した場合に迅速に回復できるよう、最悪のシナリオに備える手助けもしなければならない。 サイバーレジリエンスが脚光を浴びる サイバーレジリエンスの概念は、今日のビジネス戦略全体にとって不可欠な要素へと進化してきた。実際、Trustwave の CISO である コリー・ダニエルズ氏は CSO 誌に対し、「役員会は『正式な肩書きを持つ最高レジリエンス責任者(Chief Resilience Officer)を置くことが重要か』と問い始めています」と語っている。 コロニアル・パイプラインが経験したような、最近話題となったサイバー攻撃を受けて、CIA(機密性、完全性、可用性)のトライアッドにおける可用性の要素の重要性が増している。なぜなら、業務の中断は業務継続性だけでなく、顧客の信頼や企業に対する市場全体の評価にも影響を与えるからだ。 ダニエルズ氏は、サイバーレジリエンスに対する「包括的なアプローチ」の採用は不可欠であると語る。これは、従業員やパートナーから役員会に至るまで、ビジネスのあらゆる側面とあらゆるチームを考慮に入れる必要があるからだ。 多くの場合、組織は自らが認識している以上の能力を持っているが、これらのリソースはさまざまな部署に分散していることがある。また、サイバーレジリエンスを確立する責任を持つ各グループは、組織内の既存の能力について十分な可視性を欠いている可能性がある。 「ネットワークとセキュリティの運用には、他者が活用できる非常に豊富な情報がある」とダニエルズ氏は言う。 多くの企業がサイバーレジリエンスを企業リスク管理プロセスに統合している。脆弱性の特定、リスク評価、適切な管理策の実施など、積極的な対策に乗り出しているのだ。 「これには、エクスポージャー評価、ペネトレーションテストなどの定期的な検証、そして脅威をリアルタイムで検知し対応するための継続的なモニタリングが含まれる」と、ガートナーのアナリスト、アンジェラ・チャオ氏は言う。 FS-ISAC のグローバルビジネスレジリエンス担当ディレクター、キャメロン・ディッカー氏によると、こうした事前対策は、多くの場合、組織内の即時の境界を越えてベンダーやパートナーにまで拡大する。 「企業は、サービスプロバイダーやソフトウェアサプライチェーンを詳細に分析し、セキュリティリスクがどこにあるかを特定し、それに応じたインシデント対応計画を立てるべきだ」と彼は言う。 ソフトウェアサプライチェーン:レジリエンス方程式における重要な要素 残念ながら、Trustwave のダニエルズ氏が指摘するように、ソフトウェアサプライチェーンの分析は、サイバーレジリエンスの議論が十分されていない分野のままである。 「企業は、サプライチェーンに対する徹底的な侵入テストとリスク評価を行い、サプライヤーにサイバーセキュリティ要件を課し、サプライチェーンの混乱が業務に与える影響を軽減するための緊急時対応計画を立てるべきだ」と彼は言う。 潜在的なベンダー、特に企業のプライベートネットワークに接続するベンダーを検討する際、セキュリティ担当者は、契約またはマスターサービス契約(MSA)がサイバーおよびビジネスの両面で全体的な回復力について非常に具体的に記載されていることを確認しなければならないと、GuidePoint Security の事業継続チームリーダー、ボビー・ウィリアムズ氏は言う。 「ベンダーは、契約上、定義された事業継続、災害復旧、情報セキュリティプログラムに責任を持つべきである」とウィリアムズは付け加える。 「ベンダーの回復力を実証するための定義されたテストプログラムは契約に含めるべきであり、テスト結果は企業が確認できるようにすべきである」 ベンダーがソフトウェアサービスやアプリケーションを提供している場合は、契約書に復旧時間目標(RTO)と復旧時点目標(RPO)を明記すべきである。 「ベンダーは、要求されたテストによって RTO と…