事後対応型からレジリエンス型へ: サイバー脅威への準備とその先へのロードマップ

This post is also available in: English (英語)

「自社はサイバー脅威への備えをしっかりやれている」と考えている企業でも、「サイバーレジリエンス」については検討が不足していることが少なくありません。私たちはこれまで業種・規模ともに多岐にわたるお客様企業を何百社も支援してまいりましたが、それらの体験から、多くの組織が知っていれば恩恵を受けられる3つのポイントが明らかになりました。すなわち、サイバーレジリエンスを持つことの意味、レジリエンスを獲得する方法、そして経営陣がレジリエンスに強い関心を持つべき理由です。これらを認識していれば、サイバーセキュリティインシデントにプロアクティブに備え、必要な時間と労力を最大限に引き出すことができます。

サイバーレジリエンスでサイバー脅威への備えの先を行く

多くの組織では、実施している攻撃と防御のセキュリティ対策に基づいて「サイバー脅威への対応準備」状況を判定します。換言すれば、サイバーセキュリティの脅威をどれだけ「阻止および対処」できるか、その準備はどれだけ進んでいるかが判定の目安となります。脅威アクターの目的達成を妨げるうえで、阻止と対処が役割を担うことは疑いのないことですが、こうした従来のセキュリティアプローチには、ビジネスの考慮事項や複雑性への配慮が欠けています。サイバーセキュリティインシデントの事後対応に追われているときでも、顧客の満足、ビジネス目標の達成、重要なシステムの可用性、機密データの保護を確保するには、組織はどうすればよいのでしょうか。ここで役割を担うのがサイバーレジリエンスです。

サイバーレジリエンスとは、サイバーセキュリティインシデントが発生した場合に、組織がビジネスの提供メカニズムとコアシステムの機能を転換し、ビジネスの中断を最小化して、評判を維持できるようにする戦術的な準備状態です。要約すると、レジリエンスのある組織は、サイバーセキュリティインシデントの対処に追われていても、重要なサービスを引き続き提供することができます。というのも、機能低下状態での運用方法を定めた戦術計画があるからです。レジリエンスについて十分に理解し、専用のアプローチをとる組織は、サイバーセキュリティインシデントに直面したときに競合他社よりも優位に立ちます。具体的には、ビジネス中断の最小化、顧客の信頼維持、修復時間の短縮、侵害の総コストの削減が実現します。

レジリエンスへのロードマップ

サイバーレジリエンスの状態は、一夜にして実現できるものではありません。レジリエンスの基盤構築にあたって、組織は以下のステップについて検討する必要があります。

現状のレジリエンスを明らかにする

最初に、組織は現在のレジリエンスの状態を十分に把握しなければなりません。その対象には、機能、方法、リスク許容度、ビジネス目標が含まれます。サイバーレジリエンスの現状を明らかにするために、組織は専用のサイバーセキュリティ レジリエンス フレームワークに基づく評価を実施します。この評価は運用上の要件や組織のミッション、目的、目標にも重点が置かれており、従来のサイバーセキュリティリスク評価とは異なります。サービス継続性管理、状況認識、外部依存関係の管理など、レジリエンスに固有の手法、保護策、プロセスを含むフレームワークを選択することが重要です。たとえば、米国のCybersecurity and Infrastructure Security Agency (CISA)は、組織がレジリエンスの現状を明らかにするのに役立つ、幅広いリソースを提供しています。

組織の攻撃対象領域を把握する

把握できていないインフラは守れません。ですから組織は、資産やデータを含む攻撃対象領域を綿密に管理する必要があります。さらに、「シャドーIT」やクラウドベースアプリケーションの使用がもたらす影響についても考慮しなければなりません。組織は適切なツールまたは設定を導入し、許可されていないソフトウェアやハードウェア、アプリケーションの使用を可能な限り制限すべきです。最も重要なのは「重要資産」(重要なビジネス/サービス インフラストラクチャ)を特定して、管理、監視、保護、優先順位付け、維持を欠かさないことです。レジリエンスのある組織は、最重要資産の保護では利便性よりもセキュリティを優先させることの価値と必要性を認識しています。たとえば、アプリケーションの活用などの小さなステップにより、無関係なシステム機能を列挙して無効化することができます。最小権限の原則を適用すれば、攻撃対象領域のリスクを大幅に削減できます。

重要資産のストレステスト

安定性の維持によってレジリエンスを達成することはできません。重要なインフラストラクチャ、サービス、機能、組織の依存関係に対して「ストレステスト」を定期的に実施することが不可欠です。複雑な侵害シナリオ、技術的なテスト、管理された脅威の導入などの側面を組織の最も重要な領域に取り込むことでストレステストは遂行されます。常に可能性の限界まで追求することが重要です。「紙ベース」の机上演習を毎年繰り返して、チェックボックスに印を付けるだけでは不十分です。最も重要な資産に的を絞った、防御機能と制御機能を少しずつ破壊する戦術演習について組織は検討すべきです。これは、「パープルチーム」によって達成できます。ここでは、攻撃側の戦術と手法が戦略的に適用され、防御側のサイバーセキュリティ対策の効果を調べるテスト(さらには検証)が行われます。パープルチームは、脆弱または不十分な防御管理策の改善方法について、極めて有益な洞察をもたらします。

さらに、組織は、すべてのストレステストの演習後、目的が明確な「得られた教訓」ミーティングを必ず実施すべきです。継続的な改善をもたらす、特定のプロジェクトやイニシアチブ、ミーティングから生まれた行動が「得られた教訓」ミーティングの主要な成果となります。

サービス提供の代替案を実践する

組織の多くは、サービス提供の代替案を用意していると考えています。たとえば、代替のビジネスサイト、保持されているネットワークバックアップ、パートナーやサードパーティにサービス業務をアウトソーシングするプロセスなどがあります。とはいえ、実際にはサービス提供の代替案の実施にどのように取り組めばよいのかわからない組織がほとんどです。その証拠に、ほとんどの組織は、バックアップを利用した完全なネットワーク復元を遂行する方法(または遂行できるかどうか)についても確信を持てずにいます。サービス提供の代替案の多くは、理論的にはすばらしいものに思われますが、実際にはそれほど効果的でも効率的でもありません。組織にとって欠かせないのは、重要なサービスを提供する代替の方法とプロセスを特定し、テストと再テストを繰り返して継続的に改善していくことです。サービス提供の代替案が順調に機能すれば、インシデントが発生してコア資産が利用できない場合でも、組織はすばやく転換してビジネスの中断とそれに付随するコストを最小限に抑えることができます。これらの演習は計画を特に重視する傾向があり、コストがかかることもあります。それでも、ランサムウェアなどのサービス中断のサイバー脅威に見舞われた組織は、適切に調整されたサービス提供の代替案を確保することで、貴重な時間と資金を節約することができます。

踏み込んだ議論をしておく

  • どのような状況であれば身代金を支払うか
  • マスコミがうわさを流し、株価が低迷しているときに、どのようにして顧客の信頼を維持するか
  • 自社のCISOが行動能力を奪われているときにインシデントが発見されたらどうするか
  • アクティブなインシデントが山火事のように広がるのを阻止するために誰を呼ぶか

この種の質問に対する答えが組織のリーダー間で一致していることが重要です。リーダーはデシジョンツリーが正式に定義され、主要な利害関係者の間でソーシャル化されて、ディスカッションと同意が促進されるように努める必要があります。利害関係者に人事異動があればデシジョンツリーを見直し、必要に応じて更新します。インシデントが発生する前に踏み込んだ議論をしておくことで、組織は貴重な時間を節約し、最も重要なこと、すなわち重要な業務の維持と正常な状態への復帰に専念できます。

役員会のサイバーレジリエンス

重役会議や幹部会議のリストからサイバーセキュリティが除外されていることがよくあります。組織は、セキュリティ運用の指標、新たなリスクや脅威の情報、ツールやテクノロジの状況に関する報告でビジネス志向のリーダーに過剰な負担をかけるのを避けがちです。内容が「専門的過ぎる」と心配しているのです。しかし、レジリエンスのある組織は従業員全体にセキュリティが浸透するように尽力しており、その対象には最高位のリーダーも含まれます。

サイバーセキュリティの洞察とデータポイントは、役員会で共有すべき主要業績評価指標(KPI)やセキュリティ指標と関連付ける必要があります。「重要な」指標が「高度に専門的な」指標であるとは限りません。自社の主要なミッション、顧客への取り組み、規制要件を考慮に入れます。これは、洞察に満ちた指標を開発する重要な出発点となります。この指標は、サイバーセキュリティが組織の成功にどのような役割を果たすのかを示します。これらの指標は、企業投資、リソース調達、戦略的ロードマップ、予算配分に関するデータ主導の意思決定に情報を提供します。

サイバーセキュリティのレジリエンスは、組織の文化を変えることで達成されます。このレジリエンスは、役員会や幹部会で頻繁に議論すべきテーマです。デジタル化が進む世界を考えれば、サイバーセキュリティのリスク、依存関係、ビジネスの考慮事項に適切に対処するために、ビジネスリーダーが必要な事実と知識を身につけることが不可欠です。

サイバーレジリエンスの強化に取り組む準備が完了したら、Unit 42が事前対応型の評価をいくつか提供します。これには、Ransomware Readiness Assessment (ランサムウェアに対する準備状況の評価)や、Business Email Compromise (BEC) Readiness Assessment (ビジネスメール詐欺(BEC)に対する準備状況の評価)が含まれます。

サイバーセキュリティのリスク管理のエキスパートであり、Unit 42のプリンシパルコンサルタントを務めるLeeAnne Pelzerは、サイバーセキュリティインシデントの本当のコストに関する連載など、予防的なセキュリティの記事をいくつか書いています。今後の掲載と洞察について通知を受けられるようにLinkedInで彼女をフォローしてください。