サイバー リスクマネジメントのための 5 つのヒント

Galvanize

サイバーセキュリティは法務部門から HR 部門、IT 部門、ひいてはオペレーション部門まで、組織のあらゆる部門がとりわけ懸念する問題です。

データ侵害は技術チームのみならず会社全体にも大打撃を与え、尾を引くおそれもあります。 侵害の程度によっては、一定期間完全に業務を停止する必要があることもあり、それによって顧客や収益喪失にも至るかもしれません。

評判が傷つくことも大きな懸念事項です。データ侵害の被害者の内 65% は、その侵害があった組織に対する信頼を失っています。 そして、うかつにも個人情報を漏洩してしまった企業は、何百万ドル、ことによっては何億ドルにも上る集団訴訟を受けることさえあるのです。 こうした予期せぬ財務的な影響に関して言えば、 アメリカ合衆国内におけるデータ侵害の平均費用は 400 万米ドルに上ると言われています

業界における各種規制を遵守することは、組織を守るための良い足掛かりです。 しかし、今やそれだけでは十分とは言えません。 しなければならないのはチェック項目の条件を満たすことだけではなく、新興リスクを把握して継続的に調査し、既存のリスクを管理し、プロセスを効率化することです。 言い換えれば、積極的なアプローチでサイバーリスクを監視・管理することが不可欠なのです。

最たる例は、 コロナ禍による突然の大規模な分散型オフィス環境への移行です。限られた時間で、新たなネットワークセキュリティプロトコルを準備/構築しなければなりませんでした。 これによって、 調査回答企業の 20% がセキュリティ侵害に遭っていました。 

これは早期に特定できたであろう代表的リスクです。 リスクは世界的なパンデミックにはならないかもしれませんが、事業の継続性に影響を及ぼすことはあるでしょう。理由を問わず職場に立ち入れなかったら、適切なシステムやツール、プロセスを継続させることはできるでしょうか? 継続できなければ、それが会社にどれほどの影響を及ぼすでしょうか? これはサイバーセキュリティに対してリスクベースのアプローチを取る具体例です。

将来的なサイバーセキュリティのリスクの一歩先を行くためには、戦略的アプローチを取り、組織の潜在的なリスクを評価する必要があります(社内、サードパーティ、そしてインフラを基準としたシナリオ、および不可抗力的シナリオを考える)。 そこで個々のリスクを特定し、その低減・改善計画を策定すれば、どのようなシナリオになったとしても、ほとんどの場合、急速に改善する十分な備えができていることでしょう。

サイバーセキュリティに対するリスクベースのアプローチ

以下は、サイバーセキュリティの構想にリスクマネジメントを組み込むための 5 つのステップです。

  1. リスク スコアリングとアナリティクスを活用する

    まずは潜在的なリスクを入念に調査し、高リスク、中リスク、または低リスクなのか リスク スコアリングをしましょう。 そしてどのレベルのリスクに対して責任を負うのか、そしてそのレベルの範疇外にあるリスクを低減するためにどの程度投資するのかを決めます。 リスク スコアリングの適用と監視に、データアナリティクス機能を備えたソフトウェア プラットフォームを活用し、リスクのトレンドが望ましくない方向に進んでしまった場合に知らせ届くよう通知の自動化を行います。 この記事は、 サイバーリスクの評価を計画するのに役立つ 8 つのステップを紹介しています。

  2. サイバーリスク委員会を設立する

    組織全体のリスク所有者を特定する 通常は最高情報セキュリティ責任者(CISO: Chief Information Security Officer)が、特定のリスクを監視・管理する各チームや担当者と連携し、会社全体のサイバーリスクの管理を統括します。 たとえば、IT 部門はインフラ・ネットワークの管理・監視を主に担当し、セキュリティチームはデータへのアクセスや、アクセスに対する脅威の監視の統制管理を担当する、というように分掌するでしょう。 各関連部門のグループリーダーは、役員直属のサイバーリスク委員会の委員を務めます。 この委員会は、アクティブリスクの監視のみならず、サイバーセキュリティ プログラムの継続的ニーズの評価やリソースの割り当て、組織の目標と整合が取れるようポリシーを改訂することも担当する必要があります。

  3. 段階的アプローチを取る

    複数の大幅な戦略的変更を一度に行おうとするよりも、予算やリソースに基づいてリスクマネジメントへの段階的なアプローチを取るようにしましょう。 そしてリスクマネジメント委員会と連携してリスクの状況を把握し、整理した優先順位リストを活用してリスクに対処するための、各変更を行う時期を記載した戦略的ロードマップを作成します。 このロードマップが、長期的に変更を行っていくために必要なリソース(人、技術、プロセス)を明確に示すのに役立ちます。

  4. サイバーセキュリティの構想に注意を向ける

    サイバーセキュリティの包括的リスクマネジメント プランを策定したら、会社全体にその構想をしっかりと伝えるようにしましょう。 標準プロトコルに変更を反映するポリシーを改訂することから取り掛かり、各チームに求められる業務が円滑に進められるよう部門別に研修プログラムを実施します。 会社全体の準備が整ったら、サイバーセキュリティの構想をクライアントやパートナーに示すことでその取り組みやメッセージを広く伝えれば、競争上の優位性にもつながります。 ここで真価を発揮するのがアナリティクス レポートです。 リスクが低減したスピードといったデータポイントに着目して、役員だけではなく外部パートナーや顧客にも、サイバーセキュリティに対するリスクマネジメントの取り組みが会社全体で大きな効果をもたらしたことを示すことができます。

  5. リスク管理に役立つ適切な自動化ツールを特定する

    サイバーセキュリティのリスクマネジメントは人の専門知識を活用して行う活動です。しかし、リアルタイムでリスクレベルを注意深く追跡する堅牢なプログラムを構築するには、 自動化とデータアナリティクスツールが不可欠です。 ソリューションを選定する際には、ユーザーが専門の研修を必要とせず直感的に使えるツールを探すようにしましょう。そうすれば、会社の全部門で使用できます。 ツールは新たな脅威を分析するためにリアルタイムのデータフィードを使用し、事案や脅威が起きた時に匿名の情報を共有できなければなりません。 さらに、各軽減戦略の ROI を把握できるよう、投資と影響の数値を示せなければなりません。

コンプライアンス重視からシフトして組織固有のリスク プロファイルを中心とするサイバーセキュリティプランを策定することで、脅威が発生すれば数か月後ではなくすぐにでも効果的かつ効率的に検知し、必要な対応を取れる有利な立場に立てます。

これにより組織は、深刻な侵害によってもたらされる経営上の問題や評判の悪化を回避し、業界において長期的に競争力を維持できるでしょう。 リスク評価のみならず、リスク低減に関連するコストを分析できる技術を用いることで、望ましい結果を出す費用対効果の高いリスクマネジメント プログラムの運用が可能です。

eBook:

役員室の CISO

この eBook では次の内容を扱っています。

  • 昨今 CISO が特によく直面している 6 つの問題
  • 近年のサイバーリスクを特徴づける要因
  • サイバーセキュリティ業務にもっと多くの予算とリソースを獲得する戦略
  • 役員から尋ねられるよくある質問(とその回答テクニック)

eBook をダウンロード

関連記事

lang="en-US"