情報セキュリティは、ストレス以外の何物でもありません。潜在的なインシデントを常に警戒し、サイバーセキュリティに費やす予算は無駄だと考える他の部署と、終わりのない議論に長い時間を費やすこともあります。他部署の人たちはサイバーセキュリティについて考えようとしないうえ、重大な事態が発生した場合には特に、サイバーセキュリティに関わることからは何としても逃れようとします。結果、カスペルスキーが調査を行ったところ、62%のトップマネージャーが、事業部門と情報セキュリティ部門の間の認識や理解の隔たりが、深刻なサイバーインシデントにつながったことを認めています。組織全体の情報セキュリティに対する姿勢を改善するには、意思決定機関である取締役会からの支持を得ることが重要です。では、CEOや社長をどのように説得すればよいでしょうか。常に多忙な彼らは、情報セキュリティについて考える余裕はないかもしれないということを頭に入れておく必要があります。経営幹部を説得するときに、忘れてはならない5つのポイントを紹介します。
サイバーセキュリティ教育を導入して、まずはCレベルの幹部から始めましょう
どんなトレーニングにも通じることですが、前に立つ先生やインストラクターを信頼すること第一歩です。ただ、生徒がCEOとなりますと難しい場合があります。戦略について話し始めるのではなく、経営トップの個人レベルのサイバーセキュリティに絡めると、人と人としてつながり、信頼を築きやすくなります。Cレベルのエグゼクティブのセキュリティは組織全体のセキュリティに直接影響します。CEOの個人データやパスワードは、頻繁に攻撃者のターゲットになるからです。
2022年の終わりに、アメリカで起きた大事件を例にとってみましょう。攻撃者はVIP専用のSNS情報共有サービス、Infragardに侵入しました。このサービスは、FBIが最も深刻なサイバー脅威について大企業のCEOに内密に通知するために使用されています。ハッカーはこのSNSに登録された80,000人以上のメールアドレスと電話番号が登録されたデータベースを盗み出し、US$50,000で売りに出しました。連絡先情報のデータベースを武器に、犯罪フォーラムで購入した人物が、被害者であるCEOから信頼を得たり、あるいはBEC(ビジネスメール詐欺)で悪用する可能性があります。
上述の点をふまえると、マネジメントが気を付けなくてはならない点が4つあります。まずはデバイスにおいてUSBまたはNFCトークンを使用した二要素認証を使用すること、そしてすべてのネットワークアカウントにおいて長くユニークなパスワードを使用すること、個人用デバイスと仕事用デバイスの両方を適切なソフトウェアで保護すること、個人用のデジタル機器と仕事用のデジタル機器を使い分けることです。これらは一般個人向けのアドバイスでもありますが、組織内でミスが発生した際にかかるコストを考えるとこれらの点がどれだけ重要か、理解できるでしょう。これと同じ理由で、疑わしいメールの添付ファイルやURLは安易にクリックせず、二重のチェックをすることが重要です。経営陣の中には、特に疑わしいリンクやファイルの扱いに困り、情報セキュリティ担当のサポートが必要となるかもしれません。
マネジメントがセキュリティの基本について学んだら、次は、彼らが戦略的な決定を下すための準備です。つまり、情報セキュリティに関するトレーニングを組織内すべての従業員に定期的に受けさせます。ただ、従業員の役職に応じて、彼らが身に着けるべき知識も異なるため、それぞれのニーズに合わせてトレーニングの内容を設定することが大切です。第一線で活躍する従業員も含めて、全員がサイバー衛生に関するルールと、疑わしい状況や通常とは異なる状況下でどのような対応をするべきか、理解していく必要があります。マネージャー、特にIT部門のマネージャーは、セキュリティが製品開発や製品の使用ライフサイクルにどのように組み込まれているのか、所属する部門でどのようなセキュリティポリシーを採用すべきか、これらすべてが業績にどのように影響するのについてより深く理解できるようになるという利点があります。逆に言うと、情報セキュリティに携わる従業員は、自社に採用されているビジネスプロセスについて学び、必要な予防対策を痛みを伴わずに組み込むにはどうすればよいのかについて、より深く把握する必要があります。
サイバーセキュリティを組織の戦略とプロセスに組み込む
経済活動がデジタル化するにつれ、サイバー犯罪が起こる状況はより複雑化し、規制が厳しくなり、サイバーリスク管理は本格的な取締役レベルのタスクとなりつつあります。これには、技術的、人的、財政的、法的、そして組織的な側面が絡むので、会社の戦略やプロセスを適用する際にはこれらすべての分野のリーダーが関与する必要があります。
サプライヤーや請負業者がハッキングの被害に遭った場合、自社が第2の標的になりうることをふまえて、リスクを最小限に留めるにはどうすればよいでしょうか。顧客の個人情報などの機密データを保管、および転送する際、自業種ではどのような法律が適用されるでしょうか。すべてのコンピューターをブロックして、データを消し去ってしまうようなランサムウェア攻撃が起きたら業務にどのような影響を及ぼすでしょうか。またバックアップからデータを復元するのにどれくらいの時間がかかるでしょうか。攻撃を受けたことが、パートナー企業や一般の人々に知れ渡った場合に、ブランドイメージと金銭的な観点からどれだけの悪影響があるのか、分析することはできるでしょうか。リモート勤務の従業員を保護するためにどのような追加のセキュリティ対策を講じることができるでしょうか。情報セキュリティの専門家やサービスを提供する担当者は、他部署から寄せられるこのような質問に対して、組織的かつ技術的な対策を論理的に説明する必要があります。
最高幹部に対して、「特定の保護システムを購入する」だけでは、上述の問題の解決策とはならない点を繰り返し説明する必要があります。というのも、さまざまな評価によると、すべてのインシデントのうち46%および77%が、人的要因によるものです。具体的には、規制への非準拠や、意地の悪い内部関係者、請負業者側でのITの透明性の欠如などです。にもかかわらず、情報セキュリティの問題は予算を中心に話が進められます。
適切に投資する
情報セキュリティに予算が割り当てられるのは、短期間である傾向が強いのに対し、この分野で問題を解決するのには、果てしなく長い時間がかかります。自業種での要件と、自社と最も関連性が高く、大きな被害を受ける可能性のある脅威を考慮して、情報セキュリティへの取り組みを優先させることは重要です。このことは、脆弱性への対応や従業員に対するトレーニング実施など、あらゆる領域について言えることです。どれもないがしろにはできず、またそれぞれに固有の優先事項や優先順位があることでしょう。割り当てられた予算の中で、私たちは重要なリスクを排除し、それから起こりうる可能性がより低いものについて取り組みます。リスクが発生する可能性を自力で順位づけるのはほぼ不可能なので、自業種で脅威が発生する状況に関するレポートを精査し、頻繁に発生する攻撃ベクターを分析する必要があります。
予算を増やす必要が生じる場合には、当然のことながら事態は非常に興味深い展開を見せます。予算編成において最も成熟したアプローチは、想定されるリスクが実際に発生した場合に発生するコスト、およびリスクを最低限に抑えるコストに基づいて行うということです。しかいs、同時にこれは最も人力のかかるアプローチでもあります。ここで実際にあった例(理想的なのは、競合他社の経験例)を挙げると、取締役会での協議の中で重要な補佐的役割を果たします。とはいうものの、都合の良い例はなかなかないので、特定の業種および国における平均的な予算を示すさまざまなベンチマークに頼るのが一般的になっています。
全種類のリスクを考慮する
情報セキュリティに関する議論は、ハッカーやハッカーを阻止するソフトウェアソリューションに集中しすぎています。しかし、日常業務においては、情報セキュリティにかかわるその他のリスクに直面することの方が実際は多いものです。
近年最も注目を浴びているのは、GPDRやCCPAなどといった、個人データの保管および使用に関する法律への違反リスクです。現行の法施行の在り方が示すのは、これらの法律を無視するということは選択肢にない、ということです。遅かれ早かれ、規制当局により罰金が科され、多くの場合、特にヨーロッパでは、かなり高額な罰金が科されます。企業にとってさらに警戒する必要あがるのは、個人データの漏洩または不適切な取り扱いを理由に、売上高ベースでの罰金が科されることです。したがって、情報システムの総括的な監査と、規制違反をステップバイステップでなくすプロセスを実施することは、非常に時宜にかなったことといえます。
多くの業種では、特に金融、電気通信、医療系の業種や基幹インフラストラクチャを運用する組織などでは、独自の、中にはさらに厳しい条件が設けられています。これらの業種において、規制要件への準拠状況を改善することは、定期的なモニタリングの対象となるマネージャーのタスクとなっています。
適切に対応する
悲しいことに、最善を尽くしてもサイバーセキュリティインシデントはなかなか避けがたいものとなっています。攻撃の規模が取締役会の注目を引き寄せるのに十分な程大きい場合には、業務に支障が生じたり重要なデータが漏洩した可能性がほぼ間違いなくあります。情報セキュリティ部門だけでなく、事業部門においても、攻撃への対処に備える必要があります。訓練を受けることができれば理想的です。最低限でも、最高幹部は対応手順について把握し、これに従うことで、好ましい結果が得られる可能性を低減させることがないようにする必要があります。ここで、CEOが取るべき基本的なステップは3つあります。
1.インシデントについて主要関係者に連絡し情報を共有する。
主要関係者は状況に応じて対応を判断します。具体的には、経理部、法務部、保険会社、自業種における規制当局、データ保護に関する規制当局、法施行機関、影響を受ける顧客などです。多くの場合、報告するまでの時間は法律によって定められていますが、そうでない場合には、社内でのルールを設ける必要があります。常識的に考えると、この連絡には、インシデントに関する情報を含む必要があります。つまり、通知を行う前に、インシデントに関する詳細な情報を収集する必要があります。これには、インシデントの規模に関する最初の評価と、最初に講じられた対処についての情報も含まれます。
- インシデントを調査する。
インシデントの規模と攻撃による派生的な問題について正確に評価するために、さまざまな手だてを講じる必要があります。純粋に技術的な手だて以外にも、たとえば従業員へのアンケート調査も重要です。調査を行う際は、攻撃やその他のアーティファクトの電子的な証拠を損傷させないことが重要です。多くの場合、外部の専門家に依頼してインシデントを調査して解決することは理にかなった対処といえます。
- 情報をやり取りするスケジュールを立てる。企業が犯すよくある間違いは、インシデントを隠蔽したり、大したことではないという態度をとることです。遅かれ早かれ問題が起きた実際の規模は明るみになり、イメージ悪化と金銭的ダメージが長引き、増幅します。そのため、外部および社内でのやり取りは定期的かつ体系立てて行う必要があります。その際、一貫性があり顧客や従業員にとって実益のある情報を盛り込みます。どのようなアクションを今とるべきなのか、そして今後どのようなことが想定されるかについて、顧客や従業員が明確に理解できなくてはなりません。やり取りを一元化するのは良いアイデアでしょう。つまり、社内向けおよび社外向けの広報担当者を任命し、他の人がこの役割を担うことを禁じます。
情報セキュリティに関して、Cレベルの幹部に説明したり、説得したりすることは、時間が必要なうえ、必ずしも報われるタスクではありません。そのため、1回や2回の会議ではこれら5つのメッセージが相手の心に届き、理解してもらえる可能性は低いでしょう。事業部門と情報セキュリティ部門の間でのやり取りは、継続的に行われるプロセスであり、お互いについての理解を深めるために相互の努力が求められるものです。体系的なステップバイステップでのアプローチをとること、定期的に実行すること、すべての幹部を巻き込むこと、によってのみ、現在のサイバー環境の中で競合他社より有利に立つことができます。