Building Security Resilience (Japanese)

Stories and Advice from Cybersecurity Leaders

セキュリティレジリエンスの構築

サイバーセキュリティリーダーが語る事例とアドバイス

組織の保護とレジリエンスの構築にキャリアを捧げてきたサイバーセキュリティの専門家たち

今日、その仕事はかつてなく厳しいものに…

組織は統合されたエコシステムとして運営されていて、企業、お客様、サプライヤ、パートナー間の境界は曖昧になっています。絶え間なく変化する勤務形態への適応も進められており、ハイブリッドワークが定着しつつあります。

レジリエンスが重視されるようになったことでセキュリティに対する懸念が高まり、今日のエグゼクティブに次のような難しい質問を投げかけています。

いつ脅威が襲い掛かってくるか？
すべての脅威を検出する態勢は整っているか？
最もリスクにさらされている領域はどこか？
影響を素早く緩和できるか？
どのくらいの速さで回復できるか？
改善に向かって進んでいるか？

この e-Book では、サイバーレジリエンスをどのように組織に取り入れたのか、世界中のセキュリティリーダーたちに事例や経験を語ってもらいます。

また、組織の変化への適応能力に最も影響を与えたプラクティスに関するガイダンスも提供してもらいます。

セキュリティレジリエンスとは？

Liz Waddell

Cisco Talos、インシデント対応プラクティスリーダー | LinkedIn | Twitter

企業がレジリエンスを確保する上で重要になる要素は 4 つあると私は考えています。最も重要な要素は、従業員に投資することです。従業員の心の健康を守ることが何よりも優先されます。セキュリティ業界は、従業員が過労や燃え尽き症候群に陥りやすいことで有名な業界です。適材適所を徹底しなければなりません。従業員のトレーニングに投資して、会社の環境とテクノロジーを理解してもらい、対応と保護の態勢が整うようにします。

2 番目に重要な要素は、事業継続およびディザスタリカバリ（BCDR）計画をインシデント対応計画に沿ったものにすることです。これによって、会社のリカバリ計画が重要なビジネスニーズに基づいて実施されるようになります。この整合性を確保することで、重要な資産が存在する場所、それらの資産が通信している相手側のシステムやネットワーク内での動作を把握できるようになります。

3 番目の要素は、サイバー防御戦略を構築する際に、組織に最大の利益をもたらす簡単な方策を見つけることです。たとえば、多要素認証（MFA）、VPN、パッシブ DNS のログ記録、インシデント対応サービスの利用などがあります。これらはどれもほとんどの企業が簡単に導入できます。

このほか、CEO または取締役会直属のセキュリティ担当者を配置して、世界で発生しているリスクについてサイバーセキュリティの観点から取締役会に報告が上がるようにするというやり方もあります。これは、セキュリティへの投資を引き出すのに役立つだけでなく、会社にとってのリスクを取締役会が理解する必要があるという理由からも重要です。

最後の 4 番目の要素は、外部リスクを把握することです。サードパーティやサプライチェーンにはどのようなリスクがあるでしょうか？世界の状況を認識することも重要です。ニュースで取り上げられている出来事は、サイバーセキュリティに直接関係していなかったとしても、セキュリティ業務に影響を与えます。

セキュリティレジリエンスを組織で構築するための重要な考慮事項とは？

Richard Archdeacon

Cisco Secure、アドバイザリ CISO | LinkedIn

レジリエンスでは、組織が運営を続けられるように変化を管理する能力が必要になります。変化の中には、新しいパートナーの獲得といったプラスの変化もあれば、サイバー攻撃の標的になるといったマイナスの変化もあります。

セキュリティチームの出発点となるのは常に計画の策定です。リスクベースのアプローチを使用して脅威、脆弱性、可能性、影響を検討することで、完全なリスク方程式を組み立てることができます。リスクを理解する際には、潜在的なシナリオを仮定してシミュレーションを行います。具体的には、特定の脅威が存在すると仮定し、その脅威が組織に影響を与える可能性を評価し、最後に脆弱性をブロックして影響を軽減する方法を検討します。継続およびリカバリ計画はこれらのシナリオに基づいて策定します。

CISO の間では、脅威をもたらさないその他の変化に直面しても高いレベルの継続性を維持する方法を模索する動きが活発化しています。リスクと機会、制御、適応性との間のバランスを取ることはすべてレジリエンスに関連しています。たとえば、外部のコンサルタントチームを確実に配備できるようにする、あるいは、新しいサプライヤがシステムに接続できるようにして、リスクを高めることなく保護を受けられるようにするといったことです。

CISO はこれを達成するために次のような準備を行っています。

組織内のあらゆるリーダーシップチームから支援を得る。これは技術的な問題やセキュリティ上の問題ではなく、ビジネス上の課題です。
レジリエンスを推進する旗振り役を取締役会レベルで任命する。
すべての関係者がプロセスを導入して実施していることを確認する。
一般的な脅威インテリジェンスと特定の業界の脅威インテリジェンスの両方を継続的に開発する。
資産全体をより明確に可視化する機能と、新しいポリシーと制御を導入するための一元化された機能を備えた柔軟なテクノロジーを導入する。

「セキュリティチームの出発点となる
のは常に計画の策定です。リスク
ベースのアプローチを使用して脅威、
脆弱性、可能性、影響を検討する
ことで、完全なリスク方程式を
組み立てることができます」

Richard Archdeacon | Cisco Secure、アドバイザリ CISO

Goher Mohammad

L&Q グループ、情報セキュリティ責任者 | LinkedIn

レジリエンスとは、リスクベースのアプローチを使用して企業の許容範囲を把握することです。セキュリティリーダーはその分野の専門家として、CIO や取締役会とともにリスクとその対応策を明確に示して説明する必要があります。そうすることで組織は正しい判断を下せるようになります。

予防のために数百万ポンドのコストがかかるのに対して、損害が発生した場合の総額が数千ポンドに過ぎないとしたら、それは判断材料にすべきでしょうし、リスクを受け入れるのも間違いとは言えません。ただ、財務面だけを考慮すればよいというものではなく、評判や、データ侵害がもたらす可能性がある長期的な影響も考慮する必要があります。すべてのことを考慮に入れた上で、組織として許容できるものと許容できないものを決定します。

また、組織にとって不可欠な重要資産と、短期間であればなくても問題がない資産のリストも作成します。そして、脅威モデルに基づいてセキュリティを階層化します。すべての資産に最高レベルのセキュリティを適用するのは常に可能とは限りませんし、現実的ではないこともあります。

CISO は予算やリソースを無限に持っているわけではありません。あらゆる対策を講じてすべてを保護するのは不可能なことであり、それで問題ありません。目指しているのは、組織にとって最も重要なものとそれに関連するものを保護することです。このアプローチを使用すれば、可能な限り迅速にレジリエンスを構築して、以降も積極的に同じ取り組みを進めていくことができます。

「財務面だけを考慮すればよいという
ものではなく、評判や、データ侵害
がもたらす可能性がある長期的な
影響も考慮する必要があります」

Goher Mohammad 氏 | L&Q グループ、情報セキュリティ責任者

Martin Lee

Cisco Talos、戦略的計画・戦略的コミュニケーション、EMEA 地域リーダー | LinkedIn

レジリエンスとは、直面している脅威に対処し、被害が発生してもすぐに大きな影響を受けないようにする能力のことです。レジリエンスは、保護対策を講じ、インシデント対応計画を策定することで実現されます。

レジリエンスを構築するための最初のステップは、直面している脅威を認識することです。脅威の性質を理解していなければ、どのような保護対策を講じればよいのかも分かりません。脅威と自身の弱点を理解することが優れたレジリエンスを構築するための基盤になります。

この知識を活用することで、保護対策を講じて脅威の影響を受ける可能性を減らし、侵害された場合でも影響を最小限に抑えることができます。

ただし、脅威を完全に防ぐことのできる保護対策は存在せず、脅威がどのように変化し進化していくかも完全には予測できないことを受け入れる必要があります。したがって、脅威の影響を受けたときに素早く効果的に対応できるように準備を整えておく必要があります。

システムにシングルポイント障害がないことを確認すれば、脅威の影響によって 1 つのコンポーネントを停止しなければならなくなっても、運用を続けることができます。インシデント対応を計画してリハーサルすることで、できる限り早く脅威を緩和して通常の機能を回復することができます。

「脅威と自身の弱点を理解することが
優れたレジリエンスを構築するための
基盤になります」

Martin Lee | Cisco Talos、戦略的計画・戦略的コミュニケーション、EMEA 地域リーダー

Lidia Giuliano

情報セキュリティ専門家 | LinkedIn | Twitter

私がセキュリティアドバイザーとしてレジリエンスを評価するときに注目する点の 1 つに、データ分類、ID 管理、アクセス管理といったプラクティスに対する組織の姿勢があります。これらの領域における全体的な設計をセキュリティの観点から検討して、適切であるかどうかを確認する必要があります。

あらゆる組織でレジリエンスを構築する最も効果的な方法の 1 つは、チームアプローチを採用することです。これは非公式のチームであっても構いません。企業ですでに確立されているグループではなく、コラボレーションを行う環境を用意するのです。

これはとても大切なことです。というのは、この取り組みでは誰もが他の人と連携する必要があるからです。

たとえば私が開発者と仕事をする場合、アプリケーション開発の責任範囲には機能だけでなくセキュリティも含まれていることを開発者にしっかり認識してもらう必要があります。

つまり、お客様が私たちと安全にビジネスを行えるアプリケーションを開発しなくてはならないのです。

優れたセキュリティ要件のビジョンとアクションを組織が確実に共有することで、レジリエンスが促進されます。また、侵入テスト、コードスキャン、データ分類をすべて適切なタイミングで行うようにします。

セキュリティ専門家が実際にプロジェクトを支援しているのを見ると頼もしく感じます。これは従来のセキュリティの扱い方では見られなかった側面です。セキュリティ専門家とのコミュニケーションは、セキュリティを最初からプロジェクトに組み込むのに役立ちます。これによってレジリエンスが構築され、インシデントに見舞われたりして後から慌ててセキュリティを付け足すこともなくなります。

「あらゆる組織でレジリエンスを構築
する最も効果的な方法の 1 つは、
チームアプローチを採用すること
です。これは非公式のチームであっ
ても構いません。企業ですでに確立
されているグループではなく、
コラボレーションを行う環境を用意
するのです」

Lidia Giuliano 氏 | 情報セキュリティ専門家

James Packer

情報セキュリティ責任者 | LinkedIn

積極的に時間をかけることが重要な領域の 1 つとして、正確で実用的な脅威インテリジェンスを適切なコンテキストで取得する能力の開発がありますが、これは非常に難しい可能性があります。というのは、非常に詳細な脅威インテリジェンスを提供するベンダーやツールはたくさんあるにもかかわらず、その情報の関連性を高め、広範なコンテキストを考慮に入れることは一筋縄ではいかないことが多いからです。たとえば、現在世界が混乱に見舞われていることから、地政学的な観点でサイバー犯罪を予測することが重要になっています。

コンテキストを示す能力は、企業に真の価値をもたらします。現実世界で起きていることに基づいてサービスの提供、運用、重要機能に対する脅威を経営陣に説明することができれば、セキュリティの重要性を理解してもらうことができます。そうすることで、会社がレジリエンスを確保しているという確かな自信を経営陣が得ることができます。

レジリエンスの重要な側面の 1 つとして、企業が行っていることと実際に一致する活動に的を絞ることがあります。演習を行ってレジリエンスをテストするのはよいことですが、近年では新しい働き方が登場しているため、さまざまなフレームワークで示されている演習は、現在行う価値が最も高い演習とは言えないかもしれません。

「演習を行ってレジリエンスをテスト
するのはよいことですが、近年では新
しい働き方が登場しているため、
さまざまなフレームワークで示されて
いる演習は、現在行う価値が最も高い
演習とは言えないかもしれません」

James Packer 氏 | 情報セキュリティ責任者

それよりも、他の企業が最近被害にあった事例に注目して、現在実施しているレジリエンス活動が現実世界で起きていることと一致していることを確認するほうがよいアプローチになります。自分の業界、特に自分の組織に影響を与える可能性が最も高いものに的を絞ることが重要になります。それによってレジリエンスを現実世界でテストすることができます。

この考えをさらに進めてみましょう。ランサムウェアが猛威を振るっていますが、ランサムウェアに対するレジリエンスをテストするにはどうすればよいでしょうか？価値のあるテストを行うためには、ほとんどの組織が攻撃を受けているランサムウェアの亜種に注目します。それらのランサムウェアの亜種は、特定の業界や組織を標的にしていますか？自分の会社はどのような形で標的にされるのでしょうか？同じような企業で起きたことに基づいて、現実世界のシナリオに対応したレジリエンス演習をモデル化できますか？

James Packer（続き）

情報セキュリティ責任者 | LinkedIn

ビジネスに非常に明確な断絶が存在していることがよくあります。ランサムウェアの場合、レジリエンス演習を行ってみると、システムの技術的詳細を理解していないビジネスチームがあったり、ランサムウェアそのものや、ランサムウェアがワークフローに与える影響をよく理解していないビジネスチームがあったりすることがあります。しかし、サービスが利用できなくなったり、データが盗み出されて身代金を要求されたりする危険性があることを説明すれば、レジリエンス活動に関与している関係者が状況を正確に把握して、ランサムウェアがビジネスに重大な損害を与えることを理解できるようになります。

場合によっては、特定の機能をビジネスに損害を与えることなく短期間停止できると判断することもあります。このような種類のレジリエンス活動は、ビジネスとテクノロジーの間に明確なつながりを築いて、多くの価値をもたらします。

Corien Vermaak

シスコ、APJC 地域 Center of Excellence、サイバーセキュリティアーキテクト
LinkedIn | Twitter

レジリエンスは単なるセキュリティより格段に高度な概念ですが、もちろん、セキュリティも重要な要素です。セキュリティは、レジリエンスというチェス盤におけるキングの駒のようなものです。プロセスが崩壊して巻き返せる見込みがなくなったらゲームは終了です。さらに、キングの周りには他の分野も存在します。組織全体を保護するには、各分野が必要な手を指さなければなりません。守るべきものはたくさんあり、指す手も限られているので、慎重に計算する必要があります。このような理由から、リスクベースのセキュリティが大きな注目を集めています。

たとえば、ある企業でサーバーを使用しているとします。このサーバーには重要な情報は保持されていませんが、既知の脆弱性が存在し、パッチを適用する必要があります。これは開発に使用しているバックエンドサーバーです。

別の企業でも同じ脆弱性が存在する同じサーバーを使用していますが、そのサーバーはインターネットに接続されており、お客様のデータが保持されています。

同じ脆弱性であっても、2 つの企業が抱えているリスクは異なります。パッチを適用する必要性は、後者の企業のほうがはるかに大きいのです。

できることが限られている状況では、重要なことに的を絞る必要があります。まず重大な問題に対処し、その後、さらされる可能性がある他の脆弱性に対処するための計画を策定します。そのためには、組織の独自性に基づいた予測ベースの正確な脅威インテリジェンスが必要になります。この優先順位に基づいたレジリエンスを構築することで、従来発生していたセキュリティ運用上の問題の多くに対処できます。

「できることが限られている状況では
（中略）まず重大な問題に対処し、
その後、さらされる可能性がある他の
脆弱性に対処するための計画を策定
します」

Corien Vermaak | シスコ、APJC 地域 Center of Excellence、サイバーセキュリティアーキテクト

Motor Oil グループのセキュリティレジリエンスを成功に導いた 6 つの柱

Christos Syngelakis

Motor Oil グループ、CISO 兼データプライバシー
責任者 | LinkedIn

Motor Oil グループは 50 年の歴史を持つ石油精製企業です。
ヨーロッパ南東部の国々では、子会社が石油小売事業と再生可能エネルギー事業を展開しています。このように多様なインフラとビジネスを展開している組織でサイバーレジリエンスに取り組むことになったとき、最大の課題となったのがレガシーシステムと古い考え方でした。

取締役会は過去 5 年間にわたってデジタルトランスフォーメーションに多額の投資を行いました。その際にセキュリティの目標として掲げたのが生産のレジリエンスと、技術的なインシデントが発生した場合のブランドに対する影響およびリスクの最小化でした。これは国家の重要インフラの一部であり、中断が発生すると広範囲に影響を与える可能性があります。

「ベンダーとの戦略的パートナーシップを推進することで、
複雑さが簡素化され、あらゆるソリューションで投資回収率
が最大化されます。たとえばクラウドサービスプロバイダー
は私たちのパートナーであり、スケーラビリティの確保と
将来性のあるクラウドへのさらなる拡張を可能にしてくれ
ます」

Christos Syngelakis 氏 | Motor Oil グループ、CISO 兼データプライバシー責任者

Motor Oil グループは次のようなセキュリティ戦略の柱を打ち立てて、脅威をプロアクティブに予測し、サイバーセキュリティのレジリエンスを構築し、ビジネスを効果的にサポートしています。

リーダーシップの賛同 – CISO が組織の CEO に直属しています。ビジネスの目標および目的とサイバーセキュリティ計画の間の整合性を確保して、投資回収率と有効性を最大限に高めています。
問題領域を認識する – すべては自身の弱点を認識することから始まります。製油所などの重要なインフラでは自己認識が重要になります。自身を知り、強みと弱みを把握したことで、競合他社の 5 年先を行くことができており、会社の考え方を変えるための 5 年間にわたる取り組みと進歩が実証されました。
人間に投資する – 人間は変化の最も重要な部分です。
情報セキュリティと運用テクノロジーの一体化を図る – この 2 つの領域が耳を傾け合い、尊重し合うようにします。どちらも同じ共通の目標に向けて取り組んでいるので、同じ言葉を話すことが重要です。
セキュリティを設計に組み込んで導入する – デジタルトランスフォーメーションの取り組みとクラウドへの移行を保護します。たとえば、予知保全のためのデータ分析は現在クラウドで行っており、非常に重要なシステムがさまざまな脅威や脆弱性にさらされる危険性があります。境界のない世界でセキュリティ境界を構築し、オーバーヘッドや誤検出を発生させないことを目標にしています。私たちの業界では、誤検出と危険はイコールです。
ID 管理 – システムと統合できる場合は常に多要素認証を望ましい選択肢として使用します。

最後に、燃え尽き症候群は CISO にとって最大の課題の 1 つであることを認めておきたいと思います。新たに学ぶべきことが常にある常時稼働の環境で、テクノロジーの大幅な拡大と新プロジェクトの要求にさらされている私たちにとって、バランスを保つことは最重要課題の 1 つです。そこで前述のポイント 3 が重要になります。従業員に投資し、従業員の心の健康を優先することが必要なのです。

セキュリティレジリエンスは組織をどうプロアクティブに変えるか？

“Accidental CISO”

Twitter

第一に、運用のレジリエンスに対する脅威を予測する際に情報共有の鍵となるのは人間であり、人間関係です。私のチームよりも、組織内の他のグループのほうがそのグループの分野についてよく知っています。

また、ビジネスに対する影響もそれらのグループは把握しています。「ハッピーパス」の考え方を指摘するのはとても有効で、チームが一歩下がって、どのような最悪シナリオが発生すると計画が崩れて運用が不可能になるかを検討するのに役立っています。

そのような最悪シナリオを緩和するために、私たちは標準的な設計パターンとチーム規範を確立しました。設計パターンは、標準化された技術アーキテクチャ、要件、運用プロセスの形で確立できます。チーム規範は、通常、クロストレーニング、役割の明確化、コミュニケーションの取り方、エスカレーションの形で確立されます。

このプロアクティブなアプローチが最大のメリットをもたらしたのは 2020 年 3 月のことでした。このとき会社は、無期限の完全なリモート化を短期間のうちに実施する必要に迫られていました。2019 年に組織内のさまざまなチームと対話した結果、レジリエンスを大幅に制限する大きな問題が IT インフラに 4 つあることに私たちは気付いていました。

多くの重要なビジネスプロセスが依存している IT インフラが設置されていたオフィスでは、電力、インターネット、冷却の冗長性が不足していました。
IT インフラの管理、特に会社の電話システムの管理には、社内では対応できない専門的なスキルが必要でした。機器の管理は外部リソースに大きく依存していました。また、問題が発生したときにどれくらい早くサービスを復旧できるかも分かりませんでした。
社内の IT システムを十分に監視および保護するために必要なチームを設置しておらず、マネージドサービスプロバイダーはそのタスクを引き受けていませんでした。
リモートアクセスではお客様との通話において十分なエクスペリエンスを提供できませんでした。

長期間にわたる停止のリスクや、テレワークのエクスペリエンスを改善する必要性に対処するために、社内のあらゆる IT インフラをクラウドベースのサービスに移行することを決定しました。フルタイムのテレワークに移行することになったときには、余裕を持って対処することができました。

Christos Sarris

Sainsbury's 社、リード情報セキュリティアナリスト | LinkedIn

私は医療業界での経験の中で、セキュリティレジリエンスが組織にもたらす効果を目の当たりにしました。特にその効果を感じたのは、非常に洗練されたマルウェアの亜種に私のチームが対応したときです。そのマルウェアは、広く普及している特定のブランドの集中治療室（ICU）を標的とするように設計されていました。

ICU 医療機器（ICUMD）は、ICU 患者を注意深く監視し、安定させ、治療するために使用されます。ICU 患者の多くは意識がなく、それらの機器を使用しないと生存することはほぼできません。このマルウェアは、シリンジポンプ（特定量の薬を投与するために使用されます）とポンプ監視機能に影響を与えるため、命の危険につながる可能性があります。

それらの機器を評価したときに、現在のセキュリティの弱点と今後の脅威が判明しました。ソフトウェアの更新、パッチの適用、アクセスなどの重要な領域を、通常の IT 関連機器とはまったく異なるアプローチで処理する必要があることが明らかになりました。私たちはセキュリティレジリエンス戦略の識別フェーズ、検出フェーズ、対応フェーズに非常に洗練されたプロセスを導入しました。

その結果、隔離されたテスト環境でマルウェアを識別しました。このマルウェアは、ベンダーがリリースしたパッチを通じてもたらされたことが判明しました。そのパッチが侵害されていたのです。当時、このマルウェアを検出できるエンドポイント保護ソフトウェアはありませんでした。通常のセキュリティプロセスに従っていたら、何百人もの患者の命が危険にさらされていたでしょう。人が命を落としかねない悪意のあるものを設計する人がいるなど、思いもよらないことでした。

最前線で働いている多くのセキュリティ専門家にとって、セキュリティレジリエンスは、既知の脅威や未知の脅威に組織が適応できる能力を示します。危機発生時のノンストップのビジネス変革は、企業のレジリエンスを構築するための重要な戦略です。

「最前線で働いている多くの
セキュリティ専門家にとって、
セキュリティレジリエンスは、
既知の脅威や未知の脅威に組織
が適応できる能力を示します」

Christos Sarris 氏 | Sainsbury's 社、
リード情報セキュリティアナリスト

Nigel Sampson

International Data Group（IDG）社、サイバーセキュリティ責任者 | LinkedIn

ソリューションの調達は、人、プロセス、テクノロジーの 3 要素の 1 つに過ぎません。ソリューションをサポートするスタッフを確保することも、同じくらい重要です。多くの組織は、サイバーセキュリティスタッフをつなぎ留めておくことができません。なぜなら、現在の給与データを持っておらず、個々のスタッフの現場における急激な成長と市場価値を把握できていないからです。セキュリティプログラムを構築してサポートするには、サイバーセキュリティ、財務、人事の間に密接な関係を築く必要があります。

以前に務めた役割では、柔軟なモジュール型 GRC の導入が最も効果的なソリューションでしたが、このソリューションが複数の部門から関心を集める上で効果的に働いたのは、ベンダー管理、ベンダーリスク管理、ポリシー管理、IT リスク管理をカバーする部門横断的な能力でした。これによって、リスク管理のための一元化されたソリューションだけでなく、企業ポリシーのリポジトリも得ることができました。

ベンダー管理ソリューションを導入すると、重要なベンダーのリスクをランク付けできるベンダーリスク管理ソリューションも導入されます。これによって、個々のベンダーのリスクプロファイルと、サードパーティの全体的なリスクプロファイルを特定することができます。各ユースケースに含まれている手動プロセスを確認すれば、こうしたソリューションにコストに見合うメリットがあることは簡単に説明できます。

GRC ソリューションは 1 つのモジュールから始めました。その後、他の部門がドキュメントを一元管理したり、コアプロセスに使用したりするためにアクセスを求めるにつれて、4 つのモジュールに拡張しました。

「セキュリティプログラムを構築
してサポートするには、サイバー
セキュリティ、財務、人事の間に
密接な関係を築く必要があります」

Nigel Sampson 氏 | International Data Group（IDG）社、サイバーセキュリティ責任者

Haroon Malik

NTT データ社、取締役、セキュリティコンサルティング | LinkedIn

数年前に私が担当した小売企業では、サードパーティのサプライチェーンに大きなリスクを抱えていました。近年、サプライチェーン攻撃が猛威を振るっていますが、この攻撃手法自体は以前から使われています。その企業はかなり深刻なデータ侵害を受けており、私たちに支援を求めてきました。この事例では、同社の防御が突破されたわけではなく、主要サプライヤの 1 社の弱点が突かれていました。

私たちはサードパーティサプライヤのレビューを実施して、重要なサプライヤの割り出し（同社は約 200 社のサプライヤを抱えていました）などの評価を行いました。次に、同社が個人データや機密データを交換しているサプライヤを調べました。その後、情報分類に基づいて、すべてのサプライヤを階層分けしました。

次に私たちはすべての第 1 層サプライヤを監査しました。これによって、リスクの高いサプライヤをクライアントがより正確に把握できるようになりました。その結果、同社はサプライヤの選定方法を大幅に改善することができ、商品の品質だけでなく、セキュリティの原則も考慮するようになりました。

レジリエンスのもう 1 つの重要な要素となるのが、何か事が起きたときに特定できるだけでなく、素早く対応できる能力です。これは平均検出時間（MTTD）や平均対応時間（MTTR）と呼ばれている概念です。

脅威がなくなることはありませんし、インシデントはいつか必ず発生します。インシデントが発生する可能性を減らし、影響を最小限に抑えることでレジリエンスは達成されます。

「脅威がなくなることはありません
し、インシデントはいつか必ず発生
します。インシデントが発生する
可能性を減らし、影響を最小限に
抑えることでレジリエンスは達成
されます」

Haroon Malik 氏 | NTT データ社、取締役、セキュリティコンサルティング

Ian Thornton-Trump

Cyjax Limited 社、最高情報セキュリティ責任者 | LinkedIn | Twitter

英国のサイバー脅威インテリジェンス（CTI）業界で働くには、警戒レベルを上げることが不可欠になります。幸いなことに、当社のインフラストラクチャは攻撃対象領域や脆弱なサービスの露出を減らすように設計されています。

このように「ベストプラクティス」アーキテクチャを追求することによって、優れたレジリエンスも提供されます。私たちの役目は、安全なコードを作成することに誇りを持っている知識豊富な開発者を確保し、そのコードを ISO 27001 コンプライアンスに厳密に準拠して適切に展開することです。

ほぼ完全な仮想企業である当社では、データや電子メールはすべて Software-as-a-Service（SaaS）クラウドに保存しており、それらの一流プロバイダーが提供する究極のアクセシビリティとデータ保護を利用しています。CTI 業界で働いている当社の従業員は誰もが、当社を含むあらゆる組織が直面している脅威を強く認識しています。

私たちは最高コンプライアンス責任者と連携して仕事を進めており、会社の総力を挙げて物理世界や仮想世界の攻撃者に対して日頃から取り組んでいます。これによって強力なセキュリティ文化と効果的なレジリエンスが促進されています。

「私たちの役目は、安全なコードを
作成することに誇りを持っている
知識豊富な開発者を確保し、その
コードを ISO 27001 コンプライア
ンスに厳密に準拠して適切に展開
することです」

Ian Thornton-Trump 氏 | Cyjax Limited 社、
最高情報セキュリティ責任者

Michelle Dennedy

PrivacyCode 社、CEO | LinkedIn | Twitter

レジリエンスを構築する事例として、私がシスコで初代最高プライバシー責任者を務めていたときのことをお話ししたいと思います。コラボレーション製品などのプライバシーに関わる製品を購入されるお客様が、契約書を作成する段階になって不信を抱き混乱が生じるというパターンが見られました。私たちは長い交渉を通じて、「データはどこに保存されるのですか？」「従業員やお客様に関するサインオンデータは誰が管理するのですか？」といった基本的な質問に対応していました。

ロンドン交通博物館を見学していたとき、私はあるソリューションを思いつきました。ロンドン地下鉄の路線図の見事なまでのシンプルさがひらめきを与えてくれたのです。簡単に理解できるインフォグラフィックを用いて、保存する必要のあるデータとその保管場所、保持期間をお客様に示すことができたらどうでしょうか？

私たちはそのソリューションを作成して Cisco Trust Center で公開しました。その結果、即効性のある測定可能で持続する効果が確認されました。込み入った複雑な問題も、視覚化すれば協力して計画し、全力で取り組み、ソリューションを構築できるようになるのです。

私の現在の会社は PrivacyCode です。当社が提供しているプラットフォームは、複雑な法的要件やポリシー要件を作成して適用する必要がある関係者のためのもので、技術チームで使用および測定可能なアクション指向のタスクにそれらの要件を効果的に変換することができます。

絶え間なく変化して複雑さが増していく世界では、きめ細かなリーダーシップを明確に伝達することでレジリエンスが生み出され、強化されます。私は常に、大きな課題を解決するためのシンプルで取り組みやすい手順を探し求めています。

「絶え間なく変化して複雑さが増
していく世界では、きめ細かな
リーダーシップを明確に伝達する
ことでレジリエンスが生み出され、
強化されます」

Michelle Dennedy 氏 | PrivacyCode 社、CEO