Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

サイバーセキュリティとビジネスの整合 : 簡単にできることではないけれど...

何がいけない? ビジネスとサイバーセキュリティがつながっていない! 何かいいことは? 整合すれば見違えるような結果が得られます。

CISO、CSO などの役職でサイバーセキュリティ部門を管轄していると、「うちのセキュリティは大丈夫?」と会社の最高執行責任者や役員が比較的頻繁に問いかけてきます。そう簡単に答えられる質問ではありませんね。

企業リスクが急速にシフトしつつあるこの時に、感染症のパンデミック、経済情勢の悪化、リモートワークなどが次々と表れ、世界各地で蔓延しているサイバーアタックや脅威がリスクを増幅させるばかりでなく、サイバーセキュリティを役員会で最も注目される議題に押し上げています。それでありながら、前線に立つ我々は、山のような課題の対応に日々追われ、会社のサイバーセキュリティの状況を事業幹部に明確に伝えることは困難な状況です。

主要課題をいくつか洗い出してセキュリティリーダーがビジネス側のリーダーと意味のある対話を開始できるように、Tenable は Forrester Consulting にセキュリティ責任者 416 名、ビジネス責任者 425 名を対象としたオンライン調査と、その結果をもとにした中規模から大規模の企業のサイバーセキュリティ戦略と実践の分析を依頼しました。「ビジネス整合的なセキュリティ責任者の台頭」がその報告書です。事業の期待とセキュリティリーダーが直面する現実の不一致が浮き彫りにされています。しかし、同時に、今日のデジタル企業にとって唯一最大の機会に恵まれていることも明らかになりました。それは、CISO の役職を他の執行責任者の役職と同等の地位に引き上げるチャンスです。

将来を担うのはビジネス整合的なセキュリティリーダー

この調査で明らかになったテーマは次の4項目です。

  • サイバーセキュリティの脅威は、先行きが不安な世の中で猛威を振るうので重要性を増し、取締役会でも討議の対象になります。ほとんどの企業 (94%) が過去 12 か月間に少なくとも 1 件のサイバーアタックを経験し、ビジネスが何らかの支障または悪影響1を受けています。そのおよそ 3 分の 2 (65%) はオペレーショナルテクノロジー (OT) 資産に関する攻撃であったと報告されています。

  • ビジネスリーダーは、自社のサイバーセキュリティ状況を明確に捉えたいのですが、セキュリティリーダーは即答できず、苦戦しています。「会社のセキュリティとリスク度は大丈夫 ?」と投げかけられて自信を持って答えられるセキュリティ責任者は 10 人中 4 人しかいません。

  • 事業のサイバーリスクの理解と管理の間に隔たりがあります。特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。ビジネス部門のステークホルダーと討議して、事業のニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。セキュリティ部門のパーフォーマンスデータをビジネス部門のステークホルダーと定期的にリビューすると回答したセキュリティリーダーは 10 人に 4 人 (43%) でした。

  • サイバーセキュリティは、ビジネスリスク戦略として進化しなければなりません。これはセキュリティリーダーがアタックサーフェスの全貌を可視化できるようになって初めて達成できることです。セキュリティリーダーの半数以上が、セキュリティ部門は自社のアタックサーフェス全体を包括的に理解して評価していると答えていますが、コンテキストを踏まえた脅威メトリクスを使ってサイバーリスクを測定していると回答しているのは半数未満です。つまり、ビジネスに与えるリスクの重大度と脅威のコンテキストは、企業のサイバーリスク分析、優先順位付け、修正実行の能力にまだまだ十分に反映されていないことを表しています。

合意されたビジネスリスクデータを使って、セキュリティリーダーとビジネスリーダーの認識が一致していると、結果に明らかに大幅な改善がみられることをこの調査は示しています。ビジネス整合的なセキュリティ責任者は、サイロ思考型の責任者と比べると 8 倍、自社のリスクレベルを説明できることに自信があるようです。特に、現在の経済情勢で世界的な経済活動の低下に見舞われ、企業が経費を見直しているこの状況でも、ビジネス整合的なセキュリティ責任者の 85% はサイバーセキュリティの ROI を追跡して事業成果への影響を測定しているのに比べて、サイロ思考型の同僚の場合、その割合はたったの 25%、ということが注目されます。

Sentara Healthcare の CISO Dan Bowden 氏が去年、Tenable のインタビューでこのように語っています。「現在の状況で企業のリスク管理に社会の注目が高まっており、あらゆる企業のあらゆるリーダーシップチームと取締役会が、問題修復のストーリーに関わりたいと考えています。セキュリティチームがエクスポージャーについて、本当に行う必要のあることは何かを示す、しっかりしたデータを提供すれば、彼らはそれを理解し、データの意味を把握できます。彼らは、セキュリティチームのストーリーの一部となって、問題解決とリスク管理の改善をサポートしたいと考えています」

ビジネスとセキュリティの整合性を達成するのに CISO とその他のセキュリティ、リスク部門のリーダーが必要とするのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。例えば、ビジネス整合的な企業では、一般的にビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命しています (80%) が、整合が進んでいない企業ではその割合は 35% です。また、ビジネス整合的なセキュリティリーダーは、脆弱性評価プロセスの主要部分の自動化の促進で、事後対応する傾向のあるサイロ思考型のリーダーに比べて 49 から 66 パーセントポイント先に進んでいることも、この調査結果が明らかにしています。

これから先、数週間にわたって、このような課題と調査で得られたその他の結果について探索してブログを投稿していきます。次回は、「うちのセキュリティは大丈夫 ?」に回答するときにセキュリティの責任者が直面するさまざまな課題を掘り下げてみます。その次には、COVID-19 の対応戦略について、そして各企業に適したテクノロジー、データ、プロセスを探し当てて実装するときの課題について探っていきます。また、ビジネス整合的なサイバーセキュリティの管理プラクティスが実際どのようなものかについても話し合い、社内でどのようにして構築していったらよいか、現在の役割をビジネス整合的なサイバーセキュリティリーダーに変換するためのヒントや推奨事項を提案します。

1*「ビジネスが悪影響を受ける」とはサイバーアタックまたはセキュリティの侵害によって生じる顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失に関する状況を指します。

詳細はこちら

関連ポスト

Tenable のブログにご登録ください。最新の投稿にアクセスできます。

登録する
無料でお試し 今すぐ購入

Tenable.ioを試す

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

2,275ドル

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

Nessus Professionalを購入する

Nessus®は、最も包括的な脆弱性スキャナです。Nessus Professionalは脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様がITチームに専念できるようにサポートします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートでは 24 時間x365 日、電話、コミュニティ、チャットサポートのアクセスが追加されます。詳細はこちらから

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

無料でお試しになれます。 セールスにご連絡ください。

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Security についてもっと知る

Tenable.scのデモを入手する

以下のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。アスタリスク(*)マークの付いた欄は必須です。

無料でお試しになれます。 セールスにご連絡ください。

Tenable Luminを試す

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
不要なリスクを削減します。