COVID-19 への対処戦略でわかる、ビジネスとサイバーセキュリティの断絶

第三者機関によるビジネスリスクの調査によると、世界中の企業が COVID-19 の感染拡大に対する戦略の策定に奔走していた中で、サイバーセキュリティリーダーは蚊帳の外に置かれていたようです。

世界的な COVID-19 の感染拡大を受けて多くの重大な変革が起こっていますが、企業がビジネスリスクに備えて計画を立て、リスクを管理する手法の変革もその 1 つです。しかし、多くのサイバーセキュリティリーダーは依然として、事業運営の戦略策定の場に影が薄い状況が続きます。

事実、Tenable の委託により Forrester Consulting が実施した調査によって、 ビジネスリーダーとサイバーセキュリティリーダーの間には憂慮すべき隔たりが存在することが明らかとなりました。回答者のほぼ全員 (96%) が、COVID-19 への対応戦略を策定したと答えましたが、75% は、ビジネスとセキュリティの取り組みは多めにみても「ある程度」整合しているに過ぎないと回答しました。

この事実は、パンデミックを受けて突如として普及した在宅勤務モデルによって、膨大な数のエンドユーザーのデバイスが企業ネットワーク上に解放されつつある今の時代に、大きな不安をもたらします。かつては特定のグループのための、あれば便利だがなくてもかまわない機能であったリモートデスクトップは、今や企業の事業継続のために多くの従業員が利用する不可欠なツールとなりました。従業員は、前もってテストされていない、脆弱な可能性もある家庭用のルーターやホームネットワークを使用して、企業の基幹システムやアプリケーションに前触れなく接続します。IoT デバイスも、その普及により、潜在的な脅威ベクトルになっています。標準的なホームネットワークには、配偶者や子供、他の家族の持ち物である各種ノートパソコンやタブレット、携帯電話、そして Amazon Alexa や他の音声コントロールツール、インターネットに接続された TV やゲームデバイスなども含まれることが考えられます。

Brookings Institute は、2020 年 4 月 9 日の時点で、最大で 米国の労働者の半数が在宅勤務をしていると推定しており、これを「非常に大規模な変化」として注目しています。事実、 Pew Research の調査 によると、パンデミック以前に「柔軟な勤務場所」の利点や、テレワークの選択肢を活用できていたのは、約 1 億 4 千万人いるとされる米国の民間労働者のわずか 7% に当たる約 980 万人のみでした。

この状況でサイバー犯罪者は、アタックサーフェスの指数関数的な拡大に乗じて襲いかかろうとしています。Forrester の調査によると、企業の 10 社に 4 社 (41%) が 2020 年 4 月中旬の時点で既に少なくとも 1 回、COVID-19 に関連するフィッシングまたはマルウェアの手口による、ビジネスに悪影響のある*サイバー攻撃を受けています。10 か国、800 人以上のビジネスリーダーとサイバーセキュリティリーダーに対して実施されたオンライン調査に基づいた報告書「ビジネス整合的なセキュリティ責任者の台頭」で明らかになったデータです。

COVID 関連の詐欺は、同調査結果内で報告されているビジネスに悪影響のあるすべてのサイバー攻撃の原因の中で第 1 位です。世界保健機関による COVID-19 のパンデミック の宣言は、調査が行われたわずか数週間前であったにもかかわらず、調査の時点で COVID 関連の攻撃は、詐欺 (40%)、データ漏洩 (37%)、ランサムウェア (36%)、ソフトウェアの脆弱性 (34%) といった、ビジネスに悪影響のある他の攻撃の被害確率を上回っていました。

個人的には、奇妙なことですが調査結果によって、この傾向について懸念しているセキュリティリーダーが私だけではないことが確認できました。Forrester の調査では回答者の 3 人に 2 人 (67%) が、COVID-19 によって余儀なくされた従業員の変化が企業のリスクレベルを押し上げることを非常に、または極度に懸念していると回答していました。 

さらに悪いことに、調査対象のサイバーセキュリティリーダーの約半数 (48%) が、リモートで在宅勤務している従業員に対する可視性は中程度か、あるいは全くないと回答しています。

この隔たりを埋める重要な方法の 1 つは、企業がリスク管理戦略を策定する際に、サイバーセキュリティを考慮することです。 

ビジネス整合的なサイバーセキュリティリーダーになるためにリスク管理がどう役立つか 

CISO や CSO や他のサイバーセキュリティリーダーは、その独自の立場から、リスク管理および関連する事業継続計画、災害復旧、危機管理の領域においてより広範囲な責務を担うのに適しています。セキュリティリーダーは、テクノロジーとビジネスが交差する領域で活躍する職務であり、事業継続計画や災害復旧計画の実現に必要となるシステム、データ、プロセスのすべてを可視化している立場です。事業のリスク管理に従事すれば、自身の職務も多少管理しやすくなるでしょう。自社の重要なプロセスや資産のすべてを、企業全体の幅広いリスクの観点から理解することができれば、サイバーセキュリティでも実力を伸ばすことができるのは間違いないでしょう。

事業リスクの管理活動は、自社のビジネスと情報セキュリティの架け橋となり、明らかな業務上の利益につながります。その過程で明らかになる内容によって、危機の渦中でも経営を継続するために、人的および財務的リソースに最善の優先順位付けをして割り当てる方法を企業全体が把握できるようになります。  

Sentara Healthcare: 効果的な整合のケーススタディ

Sentara Healthcare から、効果的な整合に関するケーススタディが提供されました。Sentara Healthcare の CISO である Dan Bowden 氏は、Tenable のインタビューの中で、パンデミックが始まった時点で組織の IT チームとセキュリティチームは、極めて重大な 2 つの職務が自分たちに課せられたことに気づいたと語りました。それは膨大な数の従業員を在宅勤務可能にすることと、殺到する重篤な患者の治療に必要となるオペレーショナルテクノロジー (OT) とモノのインターネット (IoT) システムを置き換えることで、通常の病室を集中治療室 (ICU) として機能させるための改造を支援することでした。

「3 月と 4 月は ICU のキャパシティ増強と、技術を活かして個人防護具 (PPE) の消耗を抑える方法を見出すために全体の 50% 以上の労力が費やされたと言っていいでしょう」と Bowden 氏は言います。

移行は最終的には成功したものの、その結果、組織のパッチ適用プロセス 2 か月間の遅延状態に陥りました。

「私は CISO として脆弱性スキャンに果敢に取り組んでいますし、私のチームも同様です」と同氏は続けます。「当社には、新たな脆弱性を発見したときの対応を定めた、要求ベースのポリシーがあります。そして IT チームが病院のベッドを変更したために、脆弱性スキャンのタイミングとパッチ適用ポリシーを若干修正する必要がありました。通常の病室は、技術的な見地に基づいて、ある決まった方法で構成されています。これを ICU の病室に改造する場合、付随する多くの技術システムやアプリケーションにまたがる連鎖的な変更が発生します。少数の ICU ベッドを非常に多くの ICU ベッドへと変更するために、インフラストラクチャとアプリケーションチームは大忙しでした。そのため、リスクを効率的かつ効果的に管理でき、パッチ適用スケジュールを守り続けられる方法を見出す必要がありました。私たちは、Tenable の Vulnerability Priority Rating (VPR) を大いに頼りにしました。今年の春と夏はほぼ間違いなく、VPR を以前よりもずっと積極的に利用したと思います」

6 月までに、パッチ適用プロセスは再び軌道に乗りました。第 4 四半期が近づいている現在、COVID-19 による経済的な打撃を受けた数多くの業種と同様に Bowden 氏もまた、予算の決断に直面しています。「私たちは事業費を削減し、予算を再び達成することを目指しています。どうすれば 2020 年を採算割れにしないようにできるでしょうか。私たちは、事業継続性の確保と、COVID-19 の拡散状況の変化によって生じる新しい要求に対応できるように集中しています」

また、同氏は、「当組織には、全職員に対して『クリエイティブになり、今この困難の中をどのように成長するかを皆で考えましょう』と呼びかける、非常に進歩的なリーダーシップチームが存在します。そのおかげで、私たちはいくつかの大きな関連プロジェクトにも挑戦しています」と付け加えています。

サイバーセキュリティへの投資に対するリターンを示す

世界中の企業が、長期化する可能性のある不安定な経済状況に直面しているこの時代、リスクに基づいて投資に優先順位付けをすることが以前にも増して重要になっています。Forrester の調査結果から、セキュリティとビジネスが整合していれば、顕著な成果が得られることが示されています。例えば、ビジネス整合的なセキュリティリーダーの 85% が、サイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定する指標を有しているのに対して、事後対応型でサイロ思考型のリーダーの場合にはわずか 4 分の 1 (25%) です。またビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。そしてその大多数 (86%) が、改善に対する期待を明確に表現して継続的なプロセス改善を実証できるプロセスを有しているのに対して、事後対応型でサイロ思考型のリーダーの場合にはわずか 32% です。 

企業の全社的リスク管理 (ERM) 戦略の策定に関与することで、ビジネス整合的なサイバーセキュリティリーダーとなる道を歩むことができるでしょう。

次の 6 つのステップに従って、企業リスクの特定と評価を始めてみてください。

1. リスク評価に関するアンケートを作成し、主要なステークホルダーに配布します。通常、シニアディレクター以上のレベルに対して行い、対象範囲には財務、法務、人事、情報テクノロジー、情報セキュリティ、営業、オペレーション、マーケティング、研究開発といった、自社の主要な部門すべての代表者を含めます。調査が完了したら、回答をリスクカテゴリー毎に整理して、企業リスクのインベントリとして集計できるようにします。
2. 調査・分析を実行し、自社の企業リスクを業界のリスク調査結果と比較します。
3. 総合的なリスク格付けを行うために、可能性と影響を含めたリスク評価手法を策定します。
4. 自社の主要なリーダーを特定し、時間を割いてヒアリングを行い、リスクと優先順位、リスクの可能性と影響に関するフィードバックを入手します。
5. リスク評価結果を役員に説明し、最も危険なリスクが何か、具体的に決めて、各リスクの責任者レベルの所有者を割り当てます。
6. 責任者レベルのリスク所有者と連携して、最重大リスクに対する緩和活動を明確に します。

上記のステップは暇手間のかかる作業ですが、一連の明確な優先順位が判明することで大きな利益をもたらします。合意済みの企業リスクのリストを得ることができます。サイバーセキュリティは単体で企業リスクとなる可能性がある一方で、他のすべての部分にも何らかの形で影響を与える可能性があり、それでなくとも確実に他の多くの部分に影響を与えます。

企業リスク評価を、ビジネスインパクト分析と組み合わせてください。企業が最低限、存続するのに不可欠な重要システムやビジネスプロセスが判断できる、事業継続と災害復旧に欠かせない情報が得られます。この 2 つは、ビジネスとの整合性をとるサイバーセキュリティ戦略を策定するための土台になります。こうして手にすることのできた、最も重大な企業リスクおよびプロセスのリストは、危機の原因がサイバー攻撃であろうと、あるいは自然災害や、世界的なパンデミックであろうと、危機発生時の対応にも、そして通常操業の再開時にも、同様に適用できる対応対策の優先順位付けを可能にします。 

安定した時期には、企業のリスク管理は、分離されたリスク専門家チームにやらせておけばよい、単純なチェック作業だと位置づけされがちです。しかし、COVID-19 によって、ビジネスリーダーと技術リーダーは緊急対策として危機管理について学ばなければならない状況に置かれたのです。企業リスクに対するアプローチを考え直し、被害を想定して準備を行い、状況が良くなった時にメリットを得られるようにするための機会として、この時期を捉えるかどうかは私たち次第です。 

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

詳しくはこちらから

• その他の注目すべき調査結果はこちらから
• 報告書全文「ビジネス整合的なセキュリティ責任者の台頭」のダウンロードはこちらから
• 次のブログもご覧ください。 サイバーセキュリティとビジネスの整合 : 簡単にできることではないけれど... と なぜサイバーセキュリティリーダーは「会社のセキュリティは大丈夫 ?」に回答できないのか
• ホワイトペーパー「ビジネス整合的なセキュリティリーダーの素質は ?」のダウンロードはこちらから
• e ブック「ビジネス整合的なセキュリティリーダーになる方法」はこちらから。是非ご一読ください。
• Cyber Exposure ポッドキャストシリーズ「Tenable CSO Bob Huber インタビュー」もお聞きください。

*本調査の目的において、「ビジネスに悪影響のある」とはサイバーアタックまたはセキュリティの侵害によって、次のいずれか 1 つまたは複数が発生する状況を指します。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失。