サイバーセーフティ審査委員会メンバーに必要とされる3つの資格

大規模なサイバー障害の後、国の監督機関に推奨事項を提言するには、セキュリティ分野でのフォレンジック調査、技術開発、サイバーセキュリティと事業目標の整合に精通していることが基本です。

2021 年 5月、バイデン大統領は、今年になって米国の公共機関および民間企業を圧迫しているサイバー障害の多発とアタックサーフェスの複雑化の傾向に対処する行政命令 を告示しました。

大統領命令の推奨項目には、サイバーセーフティ審査委員会 (CSRB) の設立があります。これは、運輸業の安全にかかわる大規模な事件が起きた場合に招集される国家運輸安全委員会 (NTSB) に準じて考案されたものです。CSRB も大規模なサイバー障害が起きた後に招集され、サイバーセキュリティおよび障害対応プラクティスの改善について提言します。

審査委員会の有効性を高めるため、委員には現場で多様な経験を積んだサイバーセキュリティの専門家が指名されることが望まれます。セキュリティフォレンジック調査の経験、技術的な専門知識、サイバーセキュリティと事業目標の整合にかかわる経験、などが必要です。

審査委員を承認する国家安全保障庁は、次の 3 つの資質を考慮するとよいでしょう。

フォレンジックと研究調査の経験: 最高の効果を奏するには、セキュリティフォレンジックと研究調査に深くかかわっている委員が必要です。審査委員会は、事象をすばやく把握し、システムの侵入方法、環境内の行動について理解する必要があるので、 デジタルフォレンジックと最先端で活動している調査チームについて専門知識があり、できるだけ明確な、行動に直結した具体的な表現で事象を政府担当者に説明できる人が必要です。

深い技術的専門知識: 事象が把握できたら、再発防止に向けた推奨事項をまとめなければなりません。この作業には、深い技術的知識と経験のある専門職 (CTO 、 CISO 、業界代表など ) に携わっている、攻撃の詳細を分析して技術的な解決策を作成できる人が必要です。技術的な解決策は、企業が同様の攻撃の再発防止のために導入するものです。 .

サイバーセキュリティと事業目標の整合に関する専門性: 審査委員会は、サイバーサバ―セキュリティの管理に必要な投資と、事業目標や目的の達成とのバランスをしっかり理解する必要があります。サイバーリスクの管理とは、主要なリスクインジケーターを特定して計算したリスクの許容レベルに基づいて、事業にとって妥当と考えられるエクスポージャーのレベルを判断することです。重要インフラの大半が民間企業によって所有されて運用されている現在、サイバー障害後の審査委員会の推奨は、このようなサイバーセキュリティと事業のリスク管理の整合を理解した上で策定する必要があります。従って、委員会には、業界の最高経営陣が納得できるような方針を推奨できる、ビジネスの観点からサイバーリスクを計算して軽減した実績のあるリーダー格の人が必要です。

国家安全保障庁は、サイバーセフティ審査委員会を設立するにあたって、以上の経験や専門性を重要な資質として考慮すべきです。 さもなければ、効力が希薄で非効果的なサイバー戦略と推奨が結末となる危険が生じます。

もっと詳しく

• https://www.tenable.com/blog/protecting-the-atomized-attack-surface-cybersecurity-in-the-new-world-of-work
• https://www.tenable.com/blog/unpacking-the-u-s-national-security-memorandum-on-improving-cybersecurity-for-critical
• https://www.tenable.com/solution-briefs/rethinking-your-security-with-a-zero-trust-approach