企業がレジリエンスを確保する上で重要になる要素は 4 つあると私は考えています。最も重要な要素は、従業員に投資することです。従業員の心の健康を守ることが何よりも優先されます。セキュリティ業界は、従業員が過労や燃え尽き症候群に陥りやすいことで有名な業界です。適材適所を徹底しなければなりません。従業員のトレーニングに投資して、会社の環境とテクノロジーを理解してもらい、対応と保護の態勢が整うようにします。
2 番目に重要な要素は、事業継続およびディザスタリカバリ(BCDR)計画をインシデント対応計画に沿ったものにすることです。これによって、会社のリカバリ計画が重要なビジネスニーズに基づいて実施されるようになります。この整合性を確保することで、重要な資産が存在する場所、それらの資産が通信している相手側のシステムやネットワーク内での動作を把握できるようになります。
3 番目の要素は、サイバー防御戦略を構築する際に、組織に最大の利益をもたらす簡単な方策を見つけることです。たとえば、多要素認証(MFA)、VPN、パッシブ DNS のログ記録、インシデント対応サービスの利用などがあります。これらはどれもほとんどの企業が簡単に導入できます。
このほか、CEO または取締役会直属のセキュリティ担当者を配置して、世界で発生しているリスクについてサイバーセキュリティの観点から取締役会に報告が上がるようにするというやり方もあります。これは、セキュリティへの投資を引き出すのに役立つだけでなく、会社にとってのリスクを取締役会が理解する必要があるという理由からも重要です。
最後の 4 番目の要素は、外部リスクを把握することです。サードパーティやサプライチェーンにはどのようなリスクがあるでしょうか?世界の状況を認識することも重要です。ニュースで取り上げられている出来事は、サイバーセキュリティに直接関係していなかったとしても、セキュリティ業務に影響を与えます。
