全社規模でサイバーセキュリティに取り組むべき理由と、実践に向けた4つのステップ
CISOは、サイバーリスクを管理する方法を組織の最優先事項として見直すことが求められています。
重要なポイント:
- サイバーリスクは、特殊な脅威ではなく、ビジネスリスクの新たな一形態である
- CISOは、まず人材とプロセスに予算を集中させ、そのうえでテクノロジーに投資する必要がある
- 組織はセキュリティに対してオープンな文化を育むことで、より適切にリスクに順応し、管理することができる
企業がサイバーセキュリティ予算に投じる資金は、年々増え続けています。約20年前にわずか35億ドルだった予算額は、2021年には総額で2,620億ドルを超えるほどに膨らんでいます。しかし、サイバー攻撃やセキュリティ侵害、そして、これらに起因する損失は毎年増加する一方です。異なる成果を期待しつつ同じ対策を講じることは、サイバーセキュリティリスクを管理するうえで合理的なアプローチとは言えません。
もちろん、「リスクの許容レベルを定義する」、「損害賠償保険に加入してリスクの一部を移転する」、「発生時の損害を軽減する」といったいくつかのセキュリティ対策は、攻撃による影響を抑制するために引き続き重要になります。そのうえで、ビジネスリーダーは組織的な戦略を見直す必要があります。エンタープライズセキュリティは、これまでのように一部のスペシャリストの責務にとどめられないほど重要性が高まっており、企業全体ですべての人の業務に取り入れることが欠かせなくなっています。
ここでは、CISOがサイバーリスク管理をより適切に推進するために検討すべき4つの戦略をご紹介します。
1. サイバーセキュリティリスクの特別扱いをやめる
まず、サイバーリスクに対する考え方を改める必要があります。従来、サイバー攻撃は、企業のリスク管理における他の要素とは異なった、特殊な外的脅威であると見なされていました。この意識を変える必要があります。
サイバーリスクはビジネスリスクです。企業のリスク管理フレームワークに組み込み、財務および運用のリスクモデリングと同じ手法を用いて管理する必要があります。CFOやCOOが夜はちゃんと眠ることができるのなら、同じ経営陣の一員であるCISOもそうあるべきです。
多くの意味で、サイバーセキュリティは、テクノロジーの問題ではなく、組織の問題です。セキュリティプロセスは、従業員の採用プロセスや優れた顧客エクスペリエンスを構築するプロセスと同じくらい、企業にとって欠かせないものです。必要とされる他のビジネス機能と同等に考慮され、相応の資金と人材が投入されるべきでしょう。
また、セキュリティ対策は、事後対応ではなく、予防であるべきです。セールススタッフの新規採用を新製品のリリース後まで保留することはないのと同じように、サイバーセキュリティチームへの投資や適切なプロセスの導入を、重大なインシデントが発生するまで待つべきではありません。
企業は今後も深刻なセキュリティ侵害に耐え続けなければならないのは明らかです。それよりも重要な問題は、企業がこれらの侵害を防ぐために合理的な対策を講じたか否か、いかに効果的に対応できるかです。
2. 人材、プロセス、テクノロジーの順に重点を置く
次に、CISOはリソースをどこに集中させるかを再検討する必要があります。予算は明確に定義された優先順位に従って投じる必要があり、多くの場合、テクノロジーは最優先にすべきではありません。最も優先順位が高いのは人材です。これは、従業員に対する適切なセキュリティ対策のトレーニング、チームの教育や再教育、セキュリティ文化の醸成に投資することを指します。
次に投資の優先順位が高いのは、社内プロセスです。たとえば、組織がランサムウェアの攻撃を受けた場合の対応を、どの程度入念に訓練しているでしょうか。社内外のコミュニケーション、運用の継続性についての計画、攻撃者への対応方法(および対応の可否判断)は、危機が発生する前にこそ適切に準備できます。
そして、人材やプロセスに関する最も差し迫った課題に対処した後で、脅威を低減して管理するためのテクノロジーツールに投資すべきです。
3. アメは多く、ムチは少なく
スタンフォード大学の研究者による最近の調査によると、データ侵害は10件中約9件が人的ミスによって起きています。セキュリティ意識向上トレーニングに対する企業の支出が年間10億ドルを超えているにも関わらず、この傾向が変わる見込みはありません。企業は優れたセキュリティ対策に見返りを与える新しい方法を見つける必要があります。
たとえば、従業員のセキュリティ上の失敗をさらしても、従業員の注意力を高めることはできません。たいていは、従業員が恐怖心から口を閉ざし、声を上げにくくなるだけです。また、従業員が自分で問題を解決しようとし、知らぬ間に事態が悪化する可能性もあります。規制の厳しい業界で働いている場合は、このような状況が制裁につながる場合もあります。
そうではなく、組織はセキュリティに対してオープンな文化を育み、従業員が質問したり警告フラグを上げたりするように促すことが必要です。一部の企業では、疑似的なフィッシング攻撃を仕掛け、それを見抜いた従業員に商品券などの特典を提供して表彰したりしています。必須のセキュリティトレーニングに合格した従業員を公の場で称えている企業もあります。肯定的な評価は、どのような形であっても、方向性として間違いのない第一歩と言えるでしょう。
4. セキュリティツールを使いやすくする
企業がセキュリティ関連のテクノロジーに支出する金額は数十億ドルにのぼりますが、その多くは使われることのないシェルフウェアに費やされています。これらは、たいてい、使い方を理解できるエキスパートにしか使えない複雑なツールであり、このような人材は不足しているのが現状です。Information Systems Security Association(ISSA)および業界アナリスト企業であるEnterprise Strategy Group(ESG)によれば、セキュリティ分野の人材不足が早期に解消する見込みはないようです。そのため、セキュリティ関連のテクノロジー自体を使いやすくするしかありません。
ツールが簡素化されれば、CISOは重要なセキュリティ機能に対処する人材を多く採用できるだけでなく、異なるバックグラウンドやテクノロジーの専門性を持つ多様な人材を受け入れることができます。一方で、エンジニアは、上層部や技術に疎い人々でもリスクの現状を把握でき、わかりやすいダッシュボードを提供することに費やす時間が増えざるを得なくなります。
Elasticが無料かつオープンなテクノロジースタックを提供する理由の1つは、多くのコントリビューターによる活気に満ちたコミュニティを実現し、推進するためです。また、Elasticは、より幅広い層の開発者に対して製品をオープンにすることで、セキュリティをさらに向上できると信じています。
エンタープライズセキュリティを、一部の専門家チームが扱うサイロ化した機能にしておくことはできません。すべての人の責務の1つとして組み込む必要があります。そうすることで、企業は、危機的状況に対処するだけにとどまらず、サイバーセキュリティを他のリスクと同様に効率的に管理できる、新しい枠組みへと移行することができます。
ネイト・フィックは、Elasticのセキュリティ部門のゼネラルマネージャーを務めています。