レジリエンスでは、組織が運営を続けられるように変化を管理する能力が必要になります。変化の中には、新しいパートナーの獲得といったプラスの変化もあれば、サイバー攻撃の標的になるといったマイナスの変化もあります。
セキュリティチームの出発点となるのは常に計画の策定です。リスクベースのアプローチを使用して脅威、脆弱性、可能性、影響を検討することで、完全なリスク方程式を組み立てることができます。リスクを理解する際には、潜在的なシナリオを仮定してシミュレーションを行います。具体的には、特定の脅威が存在すると仮定し、その脅威が組織に影響を与える可能性を評価し、最後に脆弱性をブロックして影響を軽減する方法を検討します。継続およびリカバリ計画はこれらのシナリオに基づいて策定します。
CISO の間では、脅威をもたらさないその他の変化に直面しても高いレベルの継続性を維持する方法を模索する動きが活発化しています。リスクと機会、制御、適応性との間のバランスを取ることはすべてレジリエンスに関連しています。たとえば、外部のコンサルタントチームを確実に配備できるようにする、あるいは、新しいサプライヤがシステムに接続できるようにして、リスクを高めることなく保護を受けられるようにするといったことです。
組織内のあらゆるリーダーシップチームから支援を得る。これは技術的な問題やセキュリティ上の問題ではなく、ビジネス上の課題です。
レジリエンスを推進する旗振り役を取締役会レベルで任命する。
すべての関係者がプロセスを導入して実施していることを確認する。
一般的な脅威インテリジェンスと特定の業界の脅威インテリジェンスの両方を継続的に開発する。
資産全体をより明確に可視化する機能と、新しいポリシーと制御を導入するための一元化された機能を備えた柔軟なテクノロジーを導入する。
レジリエンスとは、リスクベースのアプローチを使用して企業の許容範囲を把握することです。セキュリティリーダーはその分野の専門家として、CIO や取締役会とともにリスクとその対応策を明確に示して説明する必要があります。そうすることで組織は正しい判断を下せるようになります。
予防のために数百万ポンドのコストがかかるのに対して、損害が発生した場合の総額が数千ポンドに過ぎないとしたら、それは判断材料にすべきでしょうし、リスクを受け入れるのも間違いとは言えません。ただ、財務面だけを考慮すればよいというものではなく、評判や、データ侵害がもたらす可能性がある長期的な影響も考慮する必要があります。すべてのことを考慮に入れた上で、組織として許容できるものと許容できないものを決定します。
また、組織にとって不可欠な重要資産と、短期間であればなくても問題がない資産のリストも作成します。そして、脅威モデルに基づいてセキュリティを階層化します。すべての資産に最高レベルのセキュリティを適用するのは常に可能とは限りませんし、現実的ではないこともあります。
CISO は予算やリソースを無限に持っているわけではありません。あらゆる対策を講じてすべてを保護するのは不可能なことであり、それで問題ありません。目指しているのは、組織にとって最も重要なものとそれに関連するものを保護することです。このアプローチを使用すれば、可能な限り迅速にレジリエンスを構築して、以降も積極的に同じ取り組みを進めていくことができます。
レジリエンスとは、直面している脅威に対処し、被害が発生してもすぐに大きな影響を受けないようにする能力のことです。レジリエンスは、保護対策を講じ、インシデント対応計画を策定することで実現されます。
レジリエンスを構築するための最初のステップは、直面している脅威を認識することです。脅威の性質を理解していなければ、どのような保護対策を講じればよいのかも分かりません。脅威と自身の弱点を理解することが優れたレジリエンスを構築するための基盤になります。
この知識を活用することで、保護対策を講じて脅威の影響を受ける可能性を減らし、侵害された場合でも影響を最小限に抑えることができます。
ただし、脅威を完全に防ぐことのできる保護対策は存在せず、脅威がどのように変化し進化していくかも完全には予測できないことを受け入れる必要があります。したがって、脅威の影響を受けたときに素早く効果的に対応できるように準備を整えておく必要があります。
システムにシングルポイント障害がないことを確認すれば、脅威の影響によって 1 つのコンポーネントを停止しなければならなくなっても、運用を続けることができます。インシデント対応を計画してリハーサルすることで、できる限り早く脅威を緩和して通常の機能を回復することができます。
私がセキュリティアドバイザーとしてレジリエンスを評価するときに注目する点の 1 つに、データ分類、ID 管理、アクセス管理といったプラクティスに対する組織の姿勢があります。これらの領域における全体的な設計をセキュリティの観点から検討して、適切であるかどうかを確認する必要があります。
あらゆる組織でレジリエンスを構築する最も効果的な方法の 1 つは、チームアプローチを採用することです。これは非公式のチームであっても構いません。企業ですでに確立されているグループではなく、コラボレーションを行う環境を用意するのです。
これはとても大切なことです。というのは、この取り組みでは誰もが他の人と連携する必要があるからです。
たとえば私が開発者と仕事をする場合、アプリケーション開発の責任範囲には機能だけでなくセキュリティも含まれていることを開発者にしっかり認識してもらう必要があります。 つまり、お客様が私たちと安全にビジネスを行えるアプリケーションを開発しなくてはならないのです。
優れたセキュリティ要件のビジョンとアクションを組織が確実に共有することで、レジリエンスが促進されます。また、侵入テスト、コードスキャン、データ分類をすべて適切なタイミングで行うようにします。
セキュリティ専門家が実際にプロジェクトを支援しているのを見ると頼もしく感じます。これは従来のセキュリティの扱い方では見られなかった側面です。セキュリティ専門家とのコミュニケーションは、セキュリティを最初からプロジェクトに組み込むのに役立ちます。これによってレジリエンスが構築され、インシデントに見舞われたりして後から慌ててセキュリティを付け足すこともなくなります。
積極的に時間をかけることが重要な領域の 1 つとして、正確で実用的な脅威インテリジェンスを適切なコンテキストで取得する能力の開発がありますが、これは非常に難しい可能性があります。というのは、非常に詳細な脅威インテリジェンスを提供するベンダーやツールはたくさんあるにもかかわらず、その情報の関連性を高め、広範なコンテキストを考慮に入れることは一筋縄ではいかないことが多いからです。たとえば、現在世界が混乱に見舞われていることから、地政学的な観点でサイバー犯罪を予測することが重要になっています。
コンテキストを示す能力は、企業に真の価値をもたらします。現実世界で起きていることに基づいてサービスの提供、運用、重要機能に対する脅威を経営陣に説明することができれば、セキュリティの重要性を理解してもらうことができます。そうすることで、会社がレジリエンスを確保しているという確かな自信を経営陣が得ることができます。
レジリエンスの重要な側面の 1 つとして、企業が行っていることと実際に一致する活動に的を絞ることがあります。演習を行ってレジリエンスをテストするのはよいことですが、近年では新しい働き方が登場しているため、さまざまなフレームワークで示されている演習は、現在行う価値が最も高い演習とは言えないかもしれません。
「演習を行ってレジリエンスをテスト するのはよいことですが、近年では新 しい働き方が登場しているため、 さまざまなフレームワークで示されて いる演習は、現在行う価値が最も高い 演習とは言えないかもしれません」
それよりも、他の企業が最近被害にあった事例に注目して、現在実施しているレジリエンス活動が現実世界で起きていることと一致していることを確認するほうがよいアプローチになります。自分の業界、特に自分の組織に影響を与える可能性が最も高いものに的を絞ることが重要になります。それによってレジリエンスを現実世界でテストすることができます。
この考えをさらに進めてみましょう。ランサムウェアが猛威を振るっていますが、ランサムウェアに対するレジリエンスをテストするにはどうすればよいでしょうか?価値のあるテストを行うためには、ほとんどの組織が攻撃を受けているランサムウェアの亜種に注目します。それらのランサムウェアの亜種は、特定の業界や組織を標的にしていますか?自分の会社はどのような形で標的にされるのでしょうか?同じような企業で起きたことに基づいて、現実世界のシナリオに対応したレジリエンス演習をモデル化できますか?
ビジネスに非常に明確な断絶が存在していることがよくあります。ランサムウェアの場合、レジリエンス演習を行ってみると、システムの技術的詳細を理解していないビジネスチームがあったり、ランサムウェアそのものや、ランサムウェアがワークフローに与える影響をよく理解していないビジネスチームがあったりすることがあります。しかし、サービスが利用できなくなったり、データが盗み出されて身代金を要求されたりする危険性があることを説明すれば、レジリエンス活動に関与している関係者が状況を正確に把握して、ランサムウェアがビジネスに重大な損害を与えることを理解できるようになります。
場合によっては、特定の機能をビジネスに損害を与えることなく短期間停止できると判断することもあります。このような種類のレジリエンス活動は、ビジネスとテクノロジーの間に明確なつながりを築いて、多くの価値をもたらします。
レジリエンスは単なるセキュリティより格段に高度な概念ですが、もちろん、セキュリティも重要な要素です。セキュリティは、レジリエンスというチェス盤におけるキングの駒のようなものです。プロセスが崩壊して巻き返せる見込みがなくなったらゲームは終了です。さらに、キングの周りには他の分野も存在します。組織全体を保護するには、各分野が必要な手を指さなければなりません。守るべきものはたくさんあり、指す手も限られているので、慎重に計算する必要があります。このような理由から、リスクベースのセキュリティが大きな注目を集めています。
たとえば、ある企業でサーバーを使用しているとします。このサーバーには重要な情報は保持されていませんが、既知の脆弱性が存在し、パッチを適用する必要があります。これは開発に使用しているバックエンドサーバーです。 別の企業でも同じ脆弱性が存在する同じサーバーを使用していますが、そのサーバーはインターネットに接続されており、お客様のデータが保持されています。
同じ脆弱性であっても、2 つの企業が抱えているリスクは異なります。パッチを適用する必要性は、後者の企業のほうがはるかに大きいのです。
できることが限られている状況では、重要なことに的を絞る必要があります。まず重大な問題に対処し、その後、さらされる可能性がある他の脆弱性に対処するための計画を策定します。そのためには、組織の独自性に基づいた予測ベースの正確な脅威インテリジェンスが必要になります。この優先順位に基づいたレジリエンスを構築することで、従来発生していたセキュリティ運用上の問題の多くに対処できます。
「できることが限られている状況では (中略)まず重大な問題に対処し、 その後、さらされる可能性がある他の 脆弱性に対処するための計画を策定 します」
