- サイバーセキュリティ・リーダーシップ
- 12月 18, 2024
リーダーシップとサイバーレジリエンス(耐性):ノーブル氏の視点
経営層のためのセキュリティ課題対応ガイド|Vol. 1
現代のデジタル環境において、サイバーセキュリティは単なる技術的な問題ではなく、ビジネスの根幹を支える重要な課題となっています。企業の経営陣や上層部は、技術的な専門知識の有無にかかわらず、自社がサイバー脅威に対して十分な備えをしているかどうかを確認する責任があります。しかし、ITやサイバーセキュリティの専門知識がない場合、こうしたリスクへの対応状況をどのように評価すればよいのか理解するのは容易ではありません。
日本サイバーディフェンス(NCD)の役員であるジョン・ノーブルは、「知見発信シリーズ」の第1回として、経営陣がサイバーセキュリティにより深く関与するための非技術的な質問の枠組みを提案しています。この枠組みは、日本国内のクライアント様との議論で頻繁に取り上げられる主要な課題やその解決策を基にしており、網羅的なチェックリストではないものの、サイバーリーダーシップを強化するための実践的な出発点として役立つ内容です。
課題の理解
サイバーセキュリティへの取り組みを始めるには、まず組織のIT環境全体を正確に把握することが不可欠です。以下のポイントが特に重要です:
- レガシーシステム: ITインフラの中で、サポートが終了している古いシステムにどの程度依存しているか。レガシーシステムは、深刻な脆弱性を抱えることが多く、セキュリティリスクの要因となる可能性があります。
- 運用の管理体制: ITの運用が社内で管理されているのか、マネージド・サービス・プロバイダー(MSP)にアウトソーシングされているのか。責任の所在や対応能力を理解するうえで重要な情報です。
- インフラの設置場所: システムが物理的なオンプレミスサーバーで運用されているのか、それともクラウドベースでホストされているのか。設置場所によって、必要なセキュリティ対策やリスク管理の方法が異なる可能性があります。
脅威の認識
すべてのサイバー脅威が同じ影響をもたらすわけではありません。経営陣として、組織にとっての脅威の特徴を正確に把握し、それに伴うリスクを明確にすることが重要です。
- 脅威の主体:組織にとって最も危険となる存在が誰であるかを分析(例: 敵対国家、ハクティビスト(社会的・政治的目的で行動するハッカー)、サイバー犯罪者など)
- 重要資産: 企業にとって最も価値のあるITシステムやデータを特定し、それらに対する適切な保護対策を講じる
- 主要リスク: 特定した重要資産に対して、どのようなサイバーリスクが存在するかを把握し、そのリスクを最小化するための計画を策定
技術的統制の評価
効果的なサイバーセキュリティを実現するには、強固な技術的な防御と適切な運用体制が必要です。経営陣は、特に以下のポイントを重点的に確認することが重要です。
- アクセス管理: 機密データや重要システムが二要素認証(2FA)や多要素認証(MFA)で適切に保護されているか
- 特権アクセス: 管理者アカウントや特権アカウントが適切に保護されているか
- ネットワーク設計: ネットワークがセグメント化され、潜在的な侵害が発生した際に被害を封じ込める設計になっているか
- フィッシング対策 : フィッシング攻撃のリスクを軽減するための対策が十分であるか
- レガシーシステムの対応: サポート切れの旧式システムが、どのように保護され、必要に応じてインターネットから隔離されているか
- ソフトウェアのアップデート:セキュリティパッチや重要なアップデートを迅速に適用できる仕組みが整備されているか
- システム構成: システムが適切に設定されていることを定期的に確認する仕組みが整備されているか
人を中心としたセキュリティ意識の醸成
テクノロジーだけでは企業を完全に守ることはできません。セキュリティ文化を根付かせ、人を中心とした取り組みを進めることが重要です。以下のポイントを考慮することで、企業全体のセキュリティ意識を高めることができます:
- 内部の専門知識: サイバーセキュリティの専門家(例:最高情報セキュリティ責任者(CISO))を雇用し、社内での専門知識を確保しているか
- 人材育成: 従業員がサイバーセキュリティやデータガバナンスについてどのようなトレーニングを受けているか
- インサイダーの脅威: 意図的または偶発的に内部関係者が引き起こすリスクに対し、どのような対策を講じているか。リスク軽減のための明確なプロセスがあるか
- 意識の醸成:セキュリティ意識を組織全体に浸透させ、全従業員が主体的にセキュリティ対策に関わる文化をどのように築き上げるか
攻撃への対応
サイバー攻撃の影響を最小限に抑えるには、事前の準備と迅速な対応力、そして復旧のための回復力が重要です。以下のポイントを確認し、企業全体の対応力を強化することが求められます:
- 検知と対応: インシデントを早期に検知し、迅速に対応するため、自動監視システムを導入しているか、またはマネージド・セキュリティ・サービス・プロバイダー(MSSP)のような外部リソースを活用しているか
- AIによる支援:人工知能(AI)ツールを活用して、インシデント検知と対応能力を向上させているか
- 復旧準備: サイバー攻撃に備えた復旧計画が策定されているか。最近、計画の実効性を確認するための復旧訓練を実施しているか
信頼の確保とリスク管理
経営層は、自社のサイバーセキュリティ戦略に対する信頼を確立するため、内部での確認と外部からの検証を通じて、その有効性を確認する必要があります:
- 監査: 前回の外部監査はいつ実施され、その結果はどのようなものであったか。また、指摘された課題に対して適切な対応が行われたか
- サードパーティのリスク: 外部委託しているIT機能やサービスプロバイダー、ベンダーが、自社のサイバーセキュリティ基準を満たしているかどうかをどのように確認しているか
- ガバナンス: サイバーリスクを継続的に監視するための体制が整っているか
サイバー・レジリエンス(耐性)の確立
サイバー耐性とは、攻撃を受けた場合でも業務を継続できる体制を整えることを指します。以下のポイントを確認し、企業の耐性を強化することが重要です:
- バックアップ戦略: 信頼性の高い、データのバックアップおよび復旧システムが整備されているか
- インシデント演習:サイバー攻撃を想定した復旧シミュレーションを最後に実施したのはいつか。その結果を反映して計画を改善しているか
- サイバー保険:サイバー保険に加入しているか。加入している場合、その保険がどのようなリスクをカバーしているかを把握しているか
継続的な関与を通じた経営層の強化
サイバーセキュリティは日々進化し続ける課題であり、経営層もその変化に合わせて理解を深めていくことが求められます。定期的な議論、継続的なトレーニング、シナリオプランニングを通じて、企業のサイバー脅威に対する対応力を強化し、自信を持ってリスクに立ち向かうための体制を整えることができます。
日本サイバーディフェンス 非常勤役員 シニアエグゼクティブアドバイザー
英国政府で40年の経験を持ち、NCSCの設立に寄与。現在はサイバーセキュリティと戦略的変革に関して世界中の組織に助言している。
サイバー成熟度評価
日本サイバーディフェンス(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。
サイバーセキュリティフレームワーク(NIST)
国立標準技術研究所
サイバー評価フレームワーク(CAF)
国家サイバーセキュリティセンター
NCDのサービスに関する詳細: サイバーセキュリティコンサルタント、保護サービス、ネットワーク監視とセキュリティ運用、SIEM、インシデント管理
