Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

COVID-19 への対処戦略でわかる、ビジネスとサイバーセキュリティの断絶

第三者機関によるビジネスリスクの調査によると、世界中の企業が COVID-19 の感染拡大に対する戦略の策定に奔走していた中で、サイバーセキュリティリーダーは蚊帳の外に置かれていたようです。

世界的な COVID-19 の感染拡大を受けて多くの重大な変革が起こっていますが、企業がビジネスリスクに備えて計画を立て、リスクを管理する手法の変革もその 1 つです。しかし、多くのサイバーセキュリティリーダーは依然として、事業運営の戦略策定の場に影が薄い状況が続きます。

事実、Tenable の委託により Forrester Consulting が実施した調査によって、 ビジネスリーダーとサイバーセキュリティリーダーの間には憂慮すべき隔たりが存在することが明らかとなりました。回答者のほぼ全員 (96%) が、COVID-19 への対応戦略を策定したと答えましたが、75% は、ビジネスとセキュリティの取り組みは多めにみても「ある程度」整合しているに過ぎないと回答しました。

この事実は、パンデミックを受けて突如として普及した在宅勤務モデルによって、膨大な数のエンドユーザーのデバイスが企業ネットワーク上に解放されつつある今の時代に、大きな不安をもたらします。かつては特定のグループのための、あれば便利だがなくてもかまわない機能であったリモートデスクトップは、今や企業の事業継続のために多くの従業員が利用する不可欠なツールとなりました。従業員は、前もってテストされていない、脆弱な可能性もある家庭用のルーターやホームネットワークを使用して、企業の基幹システムやアプリケーションに前触れなく接続します。IoT デバイスも、その普及により、潜在的な脅威ベクトルになっています。標準的なホームネットワークには、配偶者や子供、他の家族の持ち物である各種ノートパソコンやタブレット、携帯電話、そして Amazon Alexa や他の音声コントロールツール、インターネットに接続された TV やゲームデバイスなども含まれることが考えられます。

Brookings Institute は、2020 年 4 月 9 日の時点で、最大で 米国の労働者の半数が在宅勤務をしていると推定しており、これを「非常に大規模な変化」として注目しています。事実、 Pew Research の調査 によると、パンデミック以前に「柔軟な勤務場所」の利点や、テレワークの選択肢を活用できていたのは、約 1 億 4 千万人いるとされる米国の民間労働者のわずか 7% に当たる約 980 万人のみでした。

この状況でサイバー犯罪者は、アタックサーフェスの指数関数的な拡大に乗じて襲いかかろうとしています。Forrester の調査によると、企業の 10 社に 4 社 (41%) が 2020 年 4 月中旬の時点で既に少なくとも 1 回、COVID-19 に関連するフィッシングまたはマルウェアの手口による、ビジネスに悪影響のある*サイバー攻撃を受けています。10 か国、800 人以上のビジネスリーダーとサイバーセキュリティリーダーに対して実施されたオンライン調査に基づいた報告書「ビジネス整合的なセキュリティ責任者の台頭」で明らかになったデータです。

COVID 関連の詐欺は、同調査結果内で報告されているビジネスに悪影響のあるすべてのサイバー攻撃の原因の中で第 1 位です。世界保健機関による COVID-19 のパンデミック の宣言は、調査が行われたわずか数週間前であったにもかかわらず、調査の時点で COVID 関連の攻撃は、詐欺 (40%)、データ漏洩 (37%)、ランサムウェア (36%)、ソフトウェアの脆弱性 (34%) といった、ビジネスに悪影響のある他の攻撃の被害確率を上回っていました。

個人的には、奇妙なことですが調査結果によって、この傾向について懸念しているセキュリティリーダーが私だけではないことが確認できました。Forrester の調査では回答者の 3 人に 2 人 (67%) が、COVID-19 によって余儀なくされた従業員の変化が企業のリスクレベルを押し上げることを非常に、または極度に懸念していると回答していました。 

さらに悪いことに、調査対象のサイバーセキュリティリーダーの約半数 (48%) が、リモートで在宅勤務している従業員に対する可視性は中程度か、あるいは全くないと回答しています。

この隔たりを埋める重要な方法の 1 つは、企業がリスク管理戦略を策定する際に、サイバーセキュリティを考慮することです。 

ビジネス整合的なサイバーセキュリティリーダーになるためにリスク管理がどう役立つか 

CISO や CSO や他のサイバーセキュリティリーダーは、その独自の立場から、リスク管理および関連する事業継続計画、災害復旧、危機管理の領域においてより広範囲な責務を担うのに適しています。セキュリティリーダーは、テクノロジーとビジネスが交差する領域で活躍する職務であり、事業継続計画や災害復旧計画の実現に必要となるシステム、データ、プロセスのすべてを可視化している立場です。事業のリスク管理に従事すれば、自身の職務も多少管理しやすくなるでしょう。自社の重要なプロセスや資産のすべてを、企業全体の幅広いリスクの観点から理解することができれば、サイバーセキュリティでも実力を伸ばすことができるのは間違いないでしょう。

事業リスクの管理活動は、自社のビジネスと情報セキュリティの架け橋となり、明らかな業務上の利益につながります。その過程で明らかになる内容によって、危機の渦中でも経営を継続するために、人的および財務的リソースに最善の優先順位付けをして割り当てる方法を企業全体が把握できるようになります。  

Sentara Healthcare: 効果的な整合のケーススタディ

Sentara Healthcare から、効果的な整合に関するケーススタディが提供されました。Sentara Healthcare の CISO である Dan Bowden 氏は、Tenable のインタビューの中で、パンデミックが始まった時点で組織の IT チームとセキュリティチームは、極めて重大な 2 つの職務が自分たちに課せられたことに気づいたと語りました。それは膨大な数の従業員を在宅勤務可能にすることと、殺到する重篤な患者の治療に必要となるオペレーショナルテクノロジー (OT) とモノのインターネット (IoT) システムを置き換えることで、通常の病室を集中治療室 (ICU) として機能させるための改造を支援することでした。

「3 月と 4 月は ICU のキャパシティ増強と、技術を活かして個人防護具 (PPE) の消耗を抑える方法を見出すために全体の 50% 以上の労力が費やされたと言っていいでしょう」と Bowden 氏は言います。

移行は最終的には成功したものの、その結果、組織のパッチ適用プロセス 2 か月間の遅延状態に陥りました。

「私は CISO として脆弱性スキャンに果敢に取り組んでいますし、私のチームも同様です」と同氏は続けます。「当社には、新たな脆弱性を発見したときの対応を定めた、要求ベースのポリシーがあります。そして IT チームが病院のベッドを変更したために、脆弱性スキャンのタイミングとパッチ適用ポリシーを若干修正する必要がありました。通常の病室は、技術的な見地に基づいて、ある決まった方法で構成されています。これを ICU の病室に改造する場合、付随する多くの技術システムやアプリケーションにまたがる連鎖的な変更が発生します。少数の ICU ベッドを非常に多くの ICU ベッドへと変更するために、インフラストラクチャとアプリケーションチームは大忙しでした。そのため、リスクを効率的かつ効果的に管理でき、パッチ適用スケジュールを守り続けられる方法を見出す必要がありました。私たちは、Tenable の Vulnerability Priority Rating (VPR) を大いに頼りにしました。今年の春と夏はほぼ間違いなく、VPR を以前よりもずっと積極的に利用したと思います」

6 月までに、パッチ適用プロセスは再び軌道に乗りました。第 4 四半期が近づいている現在、COVID-19 による経済的な打撃を受けた数多くの業種と同様に Bowden 氏もまた、予算の決断に直面しています。「私たちは事業費を削減し、予算を再び達成することを目指しています。どうすれば 2020 年を採算割れにしないようにできるでしょうか。私たちは、事業継続性の確保と、COVID-19 の拡散状況の変化によって生じる新しい要求に対応できるように集中しています」

また、同氏は、「当組織には、全職員に対して『クリエイティブになり、今この困難の中をどのように成長するかを皆で考えましょう』と呼びかける、非常に進歩的なリーダーシップチームが存在します。そのおかげで、私たちはいくつかの大きな関連プロジェクトにも挑戦しています」と付け加えています。

サイバーセキュリティへの投資に対するリターンを示す

世界中の企業が、長期化する可能性のある不安定な経済状況に直面しているこの時代、リスクに基づいて投資に優先順位付けをすることが以前にも増して重要になっています。Forrester の調査結果から、セキュリティとビジネスが整合していれば、顕著な成果が得られることが示されています。例えば、ビジネス整合的なセキュリティリーダーの 85% が、サイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定する指標を有しているのに対して、事後対応型でサイロ思考型のリーダーの場合にはわずか 4 分の 1 (25%) です。またビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。そしてその大多数 (86%) が、改善に対する期待を明確に表現して継続的なプロセス改善を実証できるプロセスを有しているのに対して、事後対応型でサイロ思考型のリーダーの場合にはわずか 32% です。 

企業の全社的リスク管理 (ERM) 戦略の策定に関与することで、ビジネス整合的なサイバーセキュリティリーダーとなる道を歩むことができるでしょう。

次の 6 つのステップに従って、企業リスクの特定と評価を始めてみてください。

  1. リスク評価に関するアンケートを作成し、主要なステークホルダーに配布します。通常、シニアディレクター以上のレベルに対して行い、対象範囲には財務、法務、人事、情報テクノロジー、情報セキュリティ、営業、オペレーション、マーケティング、研究開発といった、自社の主要な部門すべての代表者を含めます。調査が完了したら、回答をリスクカテゴリー毎に整理して、企業リスクのインベントリとして集計できるようにします。
  2. 調査・分析を実行し、自社の企業リスクを業界のリスク調査結果と比較します。
  3. 総合的なリスク格付けを行うために、可能性と影響を含めたリスク評価手法を策定します。
  4. 自社の主要なリーダーを特定し、時間を割いてヒアリングを行い、リスクと優先順位、リスクの可能性と影響に関するフィードバックを入手します。
  5. リスク評価結果を役員に説明し、最も危険なリスクが何か、具体的に決めて、各リスクの責任者レベルの所有者を割り当てます。
  6. 責任者レベルのリスク所有者と連携して、最重大リスクに対する緩和活動を明確に します。

上記のステップは暇手間のかかる作業ですが、一連の明確な優先順位が判明することで大きな利益をもたらします。合意済みの企業リスクのリストを得ることができます。サイバーセキュリティは単体で企業リスクとなる可能性がある一方で、他のすべての部分にも何らかの形で影響を与える可能性があり、それでなくとも確実に他の多くの部分に影響を与えます。

企業リスク評価を、ビジネスインパクト分析と組み合わせてください。企業が最低限、存続するのに不可欠な重要システムやビジネスプロセスが判断できる、事業継続と災害復旧に欠かせない情報が得られます。この 2 つは、ビジネスとの整合性をとるサイバーセキュリティ戦略を策定するための土台になります。こうして手にすることのできた、最も重大な企業リスクおよびプロセスのリストは、危機の原因がサイバー攻撃であろうと、あるいは自然災害や、世界的なパンデミックであろうと、危機発生時の対応にも、そして通常操業の再開時にも、同様に適用できる対応対策の優先順位付けを可能にします。 

安定した時期には、企業のリスク管理は、分離されたリスク専門家チームにやらせておけばよい、単純なチェック作業だと位置づけされがちです。しかし、COVID-19 によって、ビジネスリーダーと技術リーダーは緊急対策として危機管理について学ばなければならない状況に置かれたのです。企業リスクに対するアプローチを考え直し、被害を想定して準備を行い、状況が良くなった時にメリットを得られるようにするための機会として、この時期を捉えるかどうかは私たち次第です。 

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

詳しくはこちらから

*本調査の目的において、「ビジネスに悪影響のある」とはサイバーアタックまたはセキュリティの侵害によって、次のいずれか 1 つまたは複数が発生する状況を指します。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格は 9 月 30 日に終了します。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

7 つの追加サポート