Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する
  • Twitter
  • Facebook
  • LinkedIn

なぜサイバーセキュリティリーダーは「会社のセキュリティは大丈夫 ?」に回答できないのか

なぜサイバーセキュリティリーダーは「会社のセキュリティは大丈夫 ?」に回答できないのか

第三者機関によるビジネスリスクの調査によると、サイバーセキュリティがビジネス戦略の一部として完全に統合されているケースはほとんどありません。しかし、完全統合こそ必要なのです。

ある日、脆弱性がトップニュースになります。想像してみてください。新たな脆弱性が開示されてヘッドラインニュースになったとします。新聞の 1 面やメディアのあちこちで大々的に報道されています。世界中のどの企業でも使っている汎用のソフトウェアに発見されたようです。役員は対応策を求め、執行幹部は大地震でも起きたように慌てふためいています。CEO が緊急役員会議を招集します。そこでセキュリティ責任者であるあなたに最初の質問が投げかけられます。「うちのセキュリティは大丈夫 ?」 

質問に答える準備ができていますか?

準備ができている、と答えた方は幸運です。Tenable が Forrester Consulting に委託して実施された調査によると、「会社のセキュリティとリスク度は大丈夫 ?」と投げかけられて自信を持って答えられるセキュリティ責任者は 10 人中 4 人しかいません。 

サイバーセキュリティ部門で 1 分でも仕事をされた方なら、なぜ、この質問に回答するのが意外なほどに難しいのかがお分かりでしょう。 

影響されているシステムの数や修正までの時間などは簡単にデータが全部提供できても、CEO の求めている回答にはなりません。CEO が知りたいのは次のことです。会社の中核となる事業価値の提供能力はこの脆弱性によって阻まれるか ? 

Forrester の調査は世界10か国の 416 名のセキュリティ責任者と425 名の事業責任者を対象としたもので、サイバーリスクの理解と管理について、事業責任者とセキュリティ責任者の捉え方には大きな乖離があることを示しています。この調査報告書、ビジネス整合的なセキュリティ責任者の台頭 によると、ビジネスリーダーの 66% が、自社のセキュリティ部門が会社のリスク度やセキュリティを定量化できることに「いくらか自信がある」だけという信じられないような状況です。また、この調査によれば、

  • 特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。 
  • ビジネス部門のステークホルダーと討議して、ビジネスニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。
  • 定期的にセキュリティ組織のパフォーマンスメトリクスを事業ステークホルダーとレビューしていると回答したセキュリティリーダーは、 43% のみ。
  • サイバーセキュリティ戦略の構築にあたって、事業責任者と積極的に話し合うセキュリティリーダーは半数以下 (47%)。その逆も同様で、事業責任者も 10 人中 4 人 (42%) が事業戦略の策定の段階でほとんど、または全くセキュリティリーダーと相談していません。
  • セキュリティリーダーの 54% と、ビジネスリーダーの 42% だけがサイバーセキュリティ戦略は完全に緊密に事業目標と連携していると回答しています。 

「ビジネスリーダーとの会話で最も気を付けなければならないのは、テクニカルな内容を避けてビジネスに焦点をあてること、言い換えれば、「テックスピーク」を「ビジネススピーク」に切り替えないといけないということです」と米国テネシー州、オークリッジの Oak Ridge National Laboratory で CISO を務めるてる Kevin Kerr 氏は Tenable に伝えています。「ビジネスが理解できなければ、その切り替えができない」と彼は強調し、次のようにまとめています。「ビジネスリーダーの恐怖がどこにあるのか、脅威は何なのか、何が重要なのか、を理解しなければなりません。彼らの観点からビジネスを理解して、彼らが何をしようとしているのか、何を保護しようとしているのか、何を収益化しようとしているのかがわかれば、それを安全に達成できるベストな方法が提示できます。セキュリティ部門として満たさなければならない基準をクリアする一方、彼らにはビジネスを思うように展開できる方法を提案します」

ビジネスコンテキストを理解する

サイバーリスクのビジネスコンテキストを明確にするのは易しいことではありません。内容は個々の企業で異なります。 

メキシコのサンペドロに拠点を置く Home Depot Mexico の CISO、Cezar Garzar 氏は次のように語っています。「リスクという言葉は、事業責任者にとってなじみのある、しかも恐れられている言葉です。またサイバーセキュリティの世界ではよく知られている言葉です。サイバーセキュリティを専門にしている我々は毎分単位でリスク対応と取り組んでいます。脆弱性、コードの欠陥、人的要素、機能しないプロセス、サポートのないテクノロジー、不適切な構成、等々、リスクはサイバーセキュリティにも事業責任者にも共通する要素で、両者をつなぐコモングラウンド (共通領域) です。それでも、サイバーセキュリティでのリスクを事業責任者が理解できるようなビジネスリスクの言葉に置き換えることは難しいのです。ワーストケースシナリオを想定して、罰金、ブランドの損傷、顧客離脱、などに言及してその意味を伝える必要のある場合もあります。ですから、『サイバーセキュリティ関連の投資が理解できるように会社のリスクについて話し合おう』と私はよく呼びかけています」

ビジネスのコンテキストを説明するにあたって、セキュリティとリスク管理責任者は、まず、次の 2 つの主要項目について回答を用意する必要あります。

  1. 企業活動の中核として作り出す価値は何ですか。 製造業の場合、モノを作って販売して利益を得ることでしょうか。ヘルスケアなら、患者に医療を提供すること。政府なら、市民に運転免許証やごみ収集などのサービスを提供すること。 
  2. 数多くある IT 資産の内、企業の中核となる価値の創造に不可欠なものはどれですか。例えば、ERP システム、医療記録アプリ、データベースなどで、もしも利用できなくなってしまったら、日々の事業活動が継続できないものがありますか ?もしも侵害されたら最も重要な知的財産や個人データなどが露呈し、事業の中核的な価値が提供できなくなるようなコンピューターを使う社内のユーザーグループがありますか ? もしもオフラインになってしまったら、銀行やネット販売など顧客用の重要なウェブサービスに支障が生じるクラウド環境がありますか ?

Tenable のインタビューを受けて、米国マサチューセッツ州、ニーダムから世界的に総合旅行プラットフォームを提供する企業の VP 兼 CISO の Rick Vadgama 氏はこう語っています。「さまざまなビジネスリーダーとビジネス上のパートナーシップを組むなり、定期的に会話をしたりして、彼らが現在進行させているイニシアチブは何かを理解することはとても役に立ちます。途中でシステムや機能が突然ダウンしたら、そこの収益の流れはどう影響を受けるだろう ? その答えをベースに、セキュリティの観点からどこに労力と時間を費やすべきかがわかります。重要なシステムに関連するすべての資産を徹底的に監視してデータを集め、脆弱性を特定できるようにします。情報セキュリティのリーダーが管轄する環境は広大です。ビジネスリーダーと本当に協働することによって、必要不可欠な主要システムは何かを彼らの観点から見出だして直接聞き出し、それを中心にセキュリティの仕事を組み立てるのです」

ビジネスコンテキストの理解を深めることは最も重要ですが、そのような理解があっても、既存の資産管理と構成データベースによって制限が課せられることを認識することも重要です。まず最初に、資産のインベントリや構成管理など概して変化の少ない運用項目を見てみましょう。私の経験からみると、ほとんどの企業は 1 年に 1 回、リスク評価を行うか、ビジネスの最重要機能にのみ業務影響分析を行っています。そのような静的なアプローチでは、オンプレミス、クラウド IT、IoT やオペレーショナルテクノロジーが動的に混在する現代のアタックサーフェスの現実を捉えるにはまったく不十分です。 

例えば、多くの大企業では、クラウドサービスを需要に応じた数だけ利用しており、毎日その数が変動します。また、人材の採用と離職の度に、コンピューター資産が追加されたり除去されたりします。アプリやソフトウェアは、ビジネスニーズの変化に応じて連続的に実装されたりアップグレードされたりします。そして、COVID-19 の世界的な感染拡大の影響で、非常に多くの社員が自宅勤務に移行し、事業運用の新しいパラダイムとなりつつあります。今日、ビジネスはデジタルコマースと同じ速さで動いており、資産インベントリはその変化のスピードに追従できません。このような状況で、セキュリティリーダーは、手持ちのツールを使って資産の重大度をできるだけ包括的に理解しようと苦戦しています。 

「現在の成長のスピードは、定性的なリスク評価で顕著になる不確実性と合わせると、セキュリティ担当者にとって最大級の課題です。これは、特に、通常は有機的な動きのない業界で顕著です」とマドリッドの LafargeHolcim IT の IT セキュリティと内部制御責任者の Jose Maria Labernia Salvador 氏が Tenable との対話で語っています。

最も重要なビジネス資産を特定することと同時に、毎年直面する数万もの脅威や脆弱性の中のどれが、実際に企業のコア資産にとって最大のリスクとなるのかを優先順位付けできる必要もあります。セキュリティリーダーは、脆弱性や攻撃手法による脅威と、修正や緩和がビジネスに与える影響の 2 点のバランスを考慮しなければなりません。企業がどの程度問題にさらされていて、堅牢なプロセスを使用してその問題に対処するのにどのくらい時間が掛かり、何も処置を取らない場合と処置した場合とで、自社の中核的なビジネス価値にどんな影響が及ぶのかを把握することが必要です。

今度、脆弱性のニュースが会社幹部の注目を浴びたとき、あなたはあの質問に答える準備ができていますか ?

最終的に、会社幹部はサイバーセキュリティの専門家ではなく、脆弱性の専門家でもないわけですから、彼らが知りたいのは、サイバーセキュリティ対策の運用は、自社の価値創造にどのようなインパクトがあるか ? ということです。ビジネス整合的なアプローチ、言い換えれば、事業の中核領域に最も影響のある資産のセキュリティを左右する脆弱性を自信をもって評価できるアプローチを取れば、「会社のセキュリティとリスク度は大丈夫 ?」という質問に明確な回答を得ることができます。 

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

もっと詳しく

関連記事

最新のエクスプロイトに対して脆弱ですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

無料でお試し 今すぐ購入

Tenable.ioを試用する

30 日間無料

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 今すぐサインアップしてください。

Tenable.ioを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。 拡張サポートでは 24 時間x365 日、電話、コミュニティ、チャットサポートのアクセスが追加されます。 詳細はこちらから

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のWebアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なWebアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDNs

3,578ドル

今すぐ購入

試用リクエスト送信 お問合せはこちらから

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポート

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

デモを申請

Tenable.scのデモを入手する

右のフォームに連絡先をご記入ください。営業担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます (255文字以内)。アスタリスク(*) マークの付いた欄は必須です。

試用リクエスト送信 お問合せはこちらから

Tenable Luminを試用する

30 日間無料

Tenable Luminを使用して、Cyber Exposureを可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Luminを購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上でLuminがいかに役立つかについて、Tenableの営業担当者までお問い合わせください。

デモをリクエストする

Tenable.ot のデモを予約する

組織の OT セキュリティニーズのために。
リスクを削減します。

デモをリクエストする

Tenable.ad

Active Directory に対する攻撃を継続的に検知して対応。エージェントレス。 権限も不必要。オンプレミスとクラウドの両方をサポート