Suggested region and language based on your location

    Your current region and language

    最先端のサーバールームで働くエンジニア
    • ブログ
      デジタルトラスト

    セキュリティ侵害へのレジリエンスを戦略的に構築する

    サイバー犯罪による損害は2025年までに10兆5,000億ドルに達すると予想されています。今、焦点は攻撃からの復旧から予防へと移りました。

    2025年にはサイバー犯罪による世界経済の損失が10兆5,000億ドルに達すると予想されているにもかかわらず、2022/2023年の時点で英国の上級管理職の50%は、攻撃をいかに防ぐかではなく、攻撃からの復旧に重点を置いています。2025年の予測が現実にならないようにするために、セキュリティ侵害に対するレジリエンスを戦略的に構築し、維持する必要があることは明らかです。

    業種に関係なく、セキュリティ侵害へのレジリエンスに対する組織のアプローチは、先手を打つこと、透明性、多層防御を組み合わせる形で、本質的に戦略的であるべきです。セキュリティ違反へのレジリエンスを正しく導入すれば、日々進化する脅威から組織を守ることができます。セキュリティ侵害が不可避であることを認識し、効果的な準備、検知、対応の仕組みを優先する考え方を文化として根付かせることも、組織の成熟度を高めます。

    「サイバーセキュリティ」などの用語は華々しく注目されますが、侵害へのレジリエンスの柱となるのは、自己認識とリスクに基づいて対象を絞ったセキュリティケイパビリティの重要性をさらに強めるフレームワークです。このフレームワークの構築には、戦略的目標、リスク選好度、規制要求事項に沿ったいくつかのステップが含まれます。

    1. ビジネス目標との整合性:防御を成功させるためには、セキュリティ侵害へのレジリエンスを全体的なビジネス戦略と整合させる必要があります。セキュリティとプライバシーの専門家にとって、企業が何を達成しようとしているかを理解し、それにふさわしい補完的な方法で防御と復旧のケイパビリティを調整することは不可欠です。
    2. エコシステムの理解:組織を明確に理解することは必須です。この条件は、業界や事業展開の場所、利害関係者、関連する規制要求事項について学習することによって満たされます。
    3. 脅威の状況:次のステップは、何を保護する必要があるのか、その企業が帰属する業界や国にシステミックリスクが波及するか否か、さらには組織に最も大きく関連する脅威を明らかにすることです。これらを学ぶことは、先手を打った防御の基盤となります。 MITRE ATT&CK® (サイバー脅威グループの追跡用) や ENISA Threat Landscape 2022 などのオンラインリソースは、状況の分析に役立ちます。
    4. 資産マッピング:資産は、人材、プロセス、テクノロジー、施設など、企業に価値を提供するすべてのものを指します。組織が十分な情報を得た時点で、次の段階は、交差分析マッピングを行い、どの脅威が事業のどの部分に影響を及ぼすのかを明確にすることです。
    5. セキュリティコントロール:次に、関連する脅威やアクターからそれぞれの資産を守るために、既存のセキュリティコントロールと緩和のケイパビリティの現状を評価します。 米国国立標準技術研究所(NIST) Special Publication 800-53 Revision 5などの確立された脅威緩和フレームワークを利用してコントロールを評価するなど、さまざまなアプローチの方法が考えられます。 NISTサイバーセキュリティフレームワークを活用することによって、企業は組織のサイバー体制の成熟度、および脅威を特定、保護、検出、対応、修復する能力を総合的に把握することができます。
    6. 未来像の決定:現状が把握できたら、リーダーおよび利害関係者と協力して、将来の望ましいセキュリティ体制について議論し、決定を下し、合意を形成します。ゴールポストは毎年の体制見直しの際に動く可能性があるため、ここでは現実的な野心がリソースの方向性を導く上で役立ちます。
    7. 戦略的ロードマップ:組織は、アセスメントからのアウトプットを活用した上で、戦略的成果を達成するために優先順位を付け、リーダーを任命することができます。ロードマップには、ビジネス目標を達成するためのアクション、投資、資源配分の概要が示されなければなりません。
    8. 透明性とコミュニケーション:ここで、組織がどこに向かいたいのか、どのように進みたいのかを、リーダー、利害関係者、投資家が確実に理解することが不可欠です。これは、主要な利害関係者に成熟度の現状を提示し、組織が特定の脅威をどの程度防御できているかを明らかにし、セキュリティ体制の概要を透明性をもって作成することによって実現可能です。
    9. 予算の決定:これは楽しい作業ですが、明暗を分ける重要なポイントでもあります。組織は知識を手に入れました。しかし、望んでいる結果を達成するための資金や意欲はあるのでしょうか。利害関係者は、上記のステップで明らかにされた事項を考慮に入れ、組織の望ましい目標および脅威の拡大状況に合わせて、それらの事項と予算を柔軟に調整しなければなりません。予算が足りないと保護が手薄になり、サイバーセキュリティ体制が劣化するおそれがあります。
    10. 資源配分:最後に、戦略ロードマップに示された資源を戦術的に配分します。事前に定められた時間枠の中で、望ましい侵害レジリエンスレベルを達成するために、どこに予算を投じるべきかを明らかにします。これは、予算のほか、デジタルとフィジカルの状況に合わせて定期的に見直す必要があります。

    テクノロジー、企業文化、目標を一体化させた戦略的フレームワークに従うことにより、組織はデジタル世界の課題に上手に対処し、セキュリティ侵害やサイバー脅威を前にしてもレジリエンスを維持することができます。

    Allessandro MagnosiのThe impact of AI and ML on cybersecurity(AIとMLがサイバーセキュリティに与える影響)で、新しいテクノロジーがサイバーセキュリティにどのような影響を与えているかをご覧ください。Conor HoganのEmerging technologies: Part 1: Embedding privacy by design(エマージングテクノロジー:パート1:設計段階からのプライバシー組み込み)で、プライバシー保護を組織に組み込む方法をご覧ください。このほか、組織が最優先すべきデジタルトラスト、プライバシー、情報セキュリティ、環境・衛生・安全関連のテーマに関する洞察についてはBSIのエキスパート・コーナーをご覧ください。