真に効果を発揮するには経営陣とCFOがリスクを十分に理解し、トップダウンで実施する取り組みのほぼすべての基盤にサイバーセキュリティを取り入れる必要があります。
大規模なデータ侵害や深刻なランサムウェア攻撃は自然災害に匹敵するレベルの被害をもたらす恐れがあり、企業ブランド、顧客ロイヤルティ、パートナーシップなどの損失、および業務の停止を度々引き起こしています。Cyber security Ventures社は、推定6兆ドルとされる2021年のサイバー犯罪による予想被害額は、「史上最大の経済的富の移転」であると指摘しています。
2020年、経営陣とCFOが何かを学んだとしたら、それは不測の事態を予測することでした。しかし、真に効果を発揮するには経営陣とCFOがリスクを十分に理解し、トップダウンで実施する取り組みのほぼすべての基盤にサイバーセキュリティを取り入れる必要があります。
単なるITの問題ではない
重要なポイントは、セキュリティ対策がもはやITシステムにパッチを適用して保護するだけでは不十分だということであり、運用環境の奥深くにまで組み込まれていることを私たちは理解しています。
昨年6月、ある世界的メーカーの社内ネットワークをランサムウェアがダウンさせた際、同社は製造施設、カスタマーサービス、経理サービスの運用を一時的に停止することを余儀なくされました。
さらにもう1つの重要なポイントとして、大企業が直面するリスク範囲の広域化が挙げられます。規制環境、社会的および政治的な変化、文化などのさまざまな社会技術的要因が、脅威の動向に影響を与えています。
セキュリティポリシーが管理側から十分に伝達されていない場合、内部脅威や機密データの流出を引き起こす恐れがあります。また、新たな経営方針の導入、M&A活動、サプライヤーとの提携により、意図せずしてハクティビストグループを刺激し、企業Webサイトの改ざん、ソーシャルメディアアカウントの乗っ取り、DDoS攻撃によるサービス停止などが引き起こされる危険性があります。データプライバシー計画に不備がある場合、地域によっては大きな罰則を課せられる可能性がありますが、軽い処罰で済む場合もあります。
経営陣の多くはセキュリティが自社のブランドと顧客の信頼に与える影響を理解しており、同様にCFOも被害額について熟知していますが、それでもなおCISO(最高情報セキュリティ責任者)は、絶えず変化するリスクの動向を伝え続けるという使命に大きな負担を感じています。
セキュリティを優先議題に
DXCのセキュリティチームは、組織のリーダー達がそれぞれの立場からセキュリティリスクを理解できるようにすることに重点を置いています。セキュリティ対策を組織の最優先事項にするうえで役立つベストプラクティスをいくつかご紹介します。
セキュリティ侵害に対する脅威や脆弱性ではなく、リスクとROIについて検討する:セキュリティ監視ツールや脅威インテリジェンスはサイバー攻撃の増加を明確に示しますが、「自分たちの組織はどの程度安全か?」という根本的な問いには答えられません。
経営陣は、コスト、信頼性、リスクを理解するためのデータを必要としていますが、CISOはリスクの全体像も提供する必要があります。
サイバーリスクを意識する企業文化は経営トップから始まります。極めて高度なスピアフィッシング攻撃が増加するなか、経営陣はかつてないほど臆病になっています。多くのCFOがリスク軽減コストと潜在的なリスクの比較検討という観点から考えるため、CISO達はROIを明確に伝える必要があります。それはつまり、株価と株主へのメリットについて想定される影響、あるいは脆弱性を起因とする潜在的コストと脆弱性の修正コストの比較結果などです。
考えうるあらゆる脅威から保護しようとすると、コストの肥大化だけでなく、ビジネスのイノベーションや成長を妨げることになりかねません。そのため、意思決定はリスクの優先順位と効果的なセキュリティ管理のバランスを適切に取りながら、様々な部門と連携して行う必要があります。
セキュリティ担当者を指名する:近年、企業のシニアリーダー達は経営陣を構成するメンバーの多様化を重視しており、さまざまな背景や視点だけでなく、投資管理、IT、人事、リスク管理などの関連スキルがもたらすメリットを求めています。
特に銀行、小売、ヘルスケア、公益事業など、サイバー攻撃の標的になりやすい業界では、サイバーリスク担当者(対策推進リーダー)を経営陣に加えるケースもあります。経営陣にセキュリティ担当者を加えることで、セキュリティを重視した組織運営が可能になります。セキュリティ対策および重大なセキュリティ侵害への対処経験があるメンバーの支援により、テクノロジーに不慣れなメンバーも急速に変化するリスクに対する理解を深めることが可能になります。
サイバー保険だけに頼らない:サイバー保険はリスク軽減を目的とした比較的新しい手段であり、一般的に損害、裁判費用、顧客への通知、データ復旧、コンピューターシステムの修復など、データ侵害に関連する責任をカバーします。ただしこうしたサイバー保険では、知的財産の窃盗による利益の損失や、攻撃を防ぐためのソフトウェアや機器のアップグレードに必要な費用は補償の対象でない場合があります。
多くのCFOとCRO(最高リスク管理責任者)は、サイバー保険のメリットと自家保険という選択肢を比較して慎重に評価する必要があります。2018年にサイバー攻撃を受けたアトランタ市は、要求された5万ドルの金銭を支払う代わりに、復旧に270万ドルを費やしました。なお、費用の大半は旧式システムのアップグレードに使われました。サイバー保険により、CFOは金銭の支払いを拒否しやすくなりますが、企業イメージの悪化は免れません。予防、迅速な対応、そして運用のレジリエンスは、依然として最善の防御策です。
アジャイル管理プロセスを導入:新しい脆弱性は絶えず発見され、さらに攻撃者は常に戦術を変えてくるため、セキュリティ計画にアジャイル管理プロセスを組み込んで対応する必要があります。
企業や組織はベストプラクティスに従い、レジリエンス計画を実施してセキュリティを管理する必要があります。これはコアシステムにディザスタリカバリ計画とバックアップが必要であるのと同じことです。企業が事業運営、顧客サービス、その他の主要な分野で継続的な改善を目指しているように、経営陣とCFOはセキュリティについても同じように考える必要があります。
セキュリティ計画の管理と攻撃者の撃退は常にコストとリスク間でのトレードオフになりますが、非常に多くのことが関係するため、セキュリティに関する意思決定は情報に基づいて戦略的かつ協調的に行う必要があります。そのため、CFOを含む経営陣による議論において、サイバーセキュリティに関する理解が非常に重要な要素となります。
最新の企業リスクについて常に把握しておくことが大切です。DXCのセキュリティ脅威インテリジェンスレポート(英語)をご購読ください。