セキュリティレジリエンスは組織をどうプロアクティブに変えるか？

“Accidental CISO”

Twitter

第一に、運用のレジリエンスに対する脅威を予測する際に情報共有の鍵となるのは人間であり、人間関係です。私のチームよりも、組織内の他のグループのほうがそのグループの分野についてよく知っています。また、ビジネスに対する影響もそれらのグループは把握しています。「ハッピーパス」の考え方を指摘するのはとても有効で、チームが一歩下がって、どのような最悪シナリオが発生すると計画が崩れて運用が不可能になるかを検討するのに役立っています。そのような最悪シナリオを緩和するために、私たちは標準的な設計パターンとチーム規範を確立しました。設計パターンは、標準化された技術アーキテクチャ、要件、運用プロセスの形で確立できます。チーム規範は、通常、クロストレーニング、役割の明確化、コミュニケーションの取り方、エスカレーションの形で確立されます。このプロアクティブなアプローチが最大のメリットをもたらしたのは 2020 年 3 月のことでした。このとき会社は、無期限の完全なリモート化を短期間のうちに実施する必要に迫られていました。2019 年に組織内のさまざまなチームと対話した結果、レジリエンスを大幅に制限する大きな問題が IT インフラに 4 つあることに私たちは気付いていました。

多くの重要なビジネスプロセスが依存している IT インフラが設置されていたオフィスでは、電力、インターネット、冷却の冗長性が不足していました。

IT インフラの管理、特に会社の電話システムの管理には、社内では対応できない専門的なスキルが必要でした。機器の管理は外部リソースに大きく依存していました。また、問題が発生したときにどれくらい早くサービスを復旧できるかも分かりませんでした。

社内の IT システムを十分に監視および保護するために必要なチームを設置しておらず、マネージドサービスプロバイダーはそのタスクを引き受けていませんでした。

リモートアクセスではお客様との通話において十分なエクスペリエンスを提供できませんでした。

長期間にわたる停止のリスクや、テレワークのエクスペリエンスを改善する必要性に対処するために、社内のあらゆる IT インフラをクラウドベースのサービスに移行することを決定しました。フルタイムのテレワークに移行することになったときには、余裕を持って対処することができました。

Christos Sarris

Sainsbury's 社、リード情報セキュリティアナリスト | LinkedIn

私は医療業界での経験の中で、セキュリティレジリエンスが組織にもたらす効果を目の当たりにしました。特にその効果を感じたのは、非常に洗練されたマルウェアの亜種に私のチームが対応したときです。そのマルウェアは、広く普及している特定のブランドの集中治療室（ICU）を標的とするように設計されていました。ICU 医療機器（ICUMD）は、ICU 患者を注意深く監視し、安定させ、治療するために使用されます。ICU 患者の多くは意識がなく、それらの機器を使用しないと生存することはほぼできません。このマルウェアは、シリンジポンプ（特定量の薬を投与するために使用されます）とポンプ監視機能に影響を与えるため、命の危険につながる可能性があります。それらの機器を評価したときに、現在のセキュリティの弱点と今後の脅威が判明しました。ソフトウェアの更新、パッチの適用、アクセスなどの重要な領域を、通常の IT 関連機器とはまったく異なるアプローチで処理する必要があることが明らかになりました。私たちはセキュリティレジリエンス戦略の識別フェーズ、検出フェーズ、対応フェーズに非常に洗練されたプロセスを導入しました。その結果、隔離されたテスト環境でマルウェアを識別しました。このマルウェアは、ベンダーがリリースしたパッチを通じてもたらされたことが判明しました。そのパッチが侵害されていたのです。当時、このマルウェアを検出できるエンドポイント保護ソフトウェアはありませんでした。通常のセキュリティプロセスに従っていたら、何百人もの患者の命が危険にさらされていたでしょう。人が命を落としかねない悪意のあるものを設計する人がいるなど、思いもよらないことでした。最前線で働いている多くのセキュリティ専門家にとって、セキュリティレジリエンスは、既知の脅威や未知の脅威に組織が適応できる能力を示します。危機発生時のノンストップのビジネス変革は、企業のレジリエンスを構築するための重要な戦略です。

「最前線で働いている多くの
セキュリティ専門家にとって、
セキュリティレジリエンスは、
既知の脅威や未知の脅威に組織
が適応できる能力を示します」

Christos Sarris 氏 | Sainsbury's 社、
リード情報セキュリティアナリスト

Nigel Sampson

International Data Group（IDG）社、サイバーセキュリティ責任者 | LinkedIn

ソリューションの調達は、人、プロセス、テクノロジーの 3 要素の 1 つに過ぎません。ソリューションをサポートするスタッフを確保することも、同じくらい重要です。多くの組織は、サイバーセキュリティスタッフをつなぎ留めておくことができません。なぜなら、現在の給与データを持っておらず、個々のスタッフの現場における急激な成長と市場価値を把握できていないからです。セキュリティプログラムを構築してサポートするには、サイバーセキュリティ、財務、人事の間に密接な関係を築く必要があります。以前に務めた役割では、柔軟なモジュール型 GRC の導入が最も効果的なソリューションでしたが、このソリューションが複数の部門から関心を集める上で効果的に働いたのは、ベンダー管理、ベンダーリスク管理、ポリシー管理、IT リスク管理をカバーする部門横断的な能力でした。これによって、リスク管理のための一元化されたソリューションだけでなく、企業ポリシーのリポジトリも得ることができました。ベンダー管理ソリューションを導入すると、重要なベンダーのリスクをランク付けできるベンダーリスク管理ソリューションも導入されます。これによって、個々のベンダーのリスクプロファイルと、サードパーティの全体的なリスクプロファイルを特定することができます。各ユースケースに含まれている手動プロセスを確認すれば、こうしたソリューションにコストに見合うメリットがあることは簡単に説明できます。GRC ソリューションは 1 つのモジュールから始めました。その後、他の部門がドキュメントを一元管理したり、コアプロセスに使用したりするためにアクセスを求めるにつれて、4 つのモジュールに拡張しました。

「セキュリティプログラムを構築
してサポートするには、サイバー
セキュリティ、財務、人事の間に
密接な関係を築く必要があります」

Nigel Sampson 氏 | International Data Group（IDG）社、サイバーセキュリティ責任者

Haroon Malik

NTT データ社、取締役、セキュリティコンサルティング | LinkedIn

数年前に私が担当した小売企業では、サードパーティのサプライチェーンに大きなリスクを抱えていました。近年、サプライチェーン攻撃が猛威を振るっていますが、この攻撃手法自体は以前から使われています。その企業はかなり深刻なデータ侵害を受けており、私たちに支援を求めてきました。この事例では、同社の防御が突破されたわけではなく、主要サプライヤの 1 社の弱点が突かれていました。私たちはサードパーティサプライヤのレビューを実施して、重要なサプライヤの割り出し（同社は約 200 社のサプライヤを抱えていました）などの評価を行いました。次に、同社が個人データや機密データを交換しているサプライヤを調べました。その後、情報分類に基づいて、すべてのサプライヤを階層分けしました。次に私たちはすべての第 1 層サプライヤを監査しました。これによって、リスクの高いサプライヤをクライアントがより正確に把握できるようになりました。その結果、同社はサプライヤの選定方法を大幅に改善することができ、商品の品質だけでなく、セキュリティの原則も考慮するようになりました。レジリエンスのもう 1 つの重要な要素となるのが、何か事が起きたときに特定できるだけでなく、素早く対応できる能力です。これは平均検出時間（MTTD）や平均対応時間（MTTR）と呼ばれている概念です。脅威がなくなることはありませんし、インシデントはいつか必ず発生します。インシデントが発生する可能性を減らし、影響を最小限に抑えることでレジリエンスは達成されます。

「脅威がなくなることはありません
し、インシデントはいつか必ず発生
します。インシデントが発生する
可能性を減らし、影響を最小限に
抑えることでレジリエンスは達成
されます」

Haroon Malik 氏 | NTT データ社、取締役、セキュリティコンサルティング

Ian Thornton-Trump

Cyjax Limited 社、最高情報セキュリティ責任者 | LinkedIn | Twitter

英国のサイバー脅威インテリジェンス（CTI）業界で働くには、警戒レベルを上げることが不可欠になります。幸いなことに、当社のインフラストラクチャは攻撃対象領域や脆弱なサービスの露出を減らすように設計されています。このように「ベストプラクティス」アーキテクチャを追求することによって、優れたレジリエンスも提供されます。私たちの役目は、安全なコードを作成することに誇りを持っている知識豊富な開発者を確保し、そのコードを ISO 27001 コンプライアンスに厳密に準拠して適切に展開することです。ほぼ完全な仮想企業である当社では、データや電子メールはすべて Software-as-a-Service（SaaS）クラウドに保存しており、それらの一流プロバイダーが提供する究極のアクセシビリティとデータ保護を利用しています。CTI 業界で働いている当社の従業員は誰もが、当社を含むあらゆる組織が直面している脅威を強く認識しています。私たちは最高コンプライアンス責任者と連携して仕事を進めており、会社の総力を挙げて物理世界や仮想世界の攻撃者に対して日頃から取り組んでいます。これによって強力なセキュリティ文化と効果的なレジリエンスが促進されています。

「私たちの役目は、安全なコードを
作成することに誇りを持っている
知識豊富な開発者を確保し、その
コードを ISO 27001 コンプライア
ンスに厳密に準拠して適切に展開
することです」

Ian Thornton-Trump 氏 | Cyjax Limited 社、
最高情報セキュリティ責任者

Michelle Dennedy

PrivacyCode 社、CEO | LinkedIn | Twitter

レジリエンスを構築する事例として、私がシスコで初代最高プライバシー責任者を務めていたときのことをお話ししたいと思います。コラボレーション製品などのプライバシーに関わる製品を購入されるお客様が、契約書を作成する段階になって不信を抱き混乱が生じるというパターンが見られました。私たちは長い交渉を通じて、「データはどこに保存されるのですか？」「従業員やお客様に関するサインオンデータは誰が管理するのですか？」といった基本的な質問に対応していました。ロンドン交通博物館を見学していたとき、私はあるソリューションを思いつきました。ロンドン地下鉄の路線図の見事なまでのシンプルさがひらめきを与えてくれたのです。簡単に理解できるインフォグラフィックを用いて、保存する必要のあるデータとその保管場所、保持期間をお客様に示すことができたらどうでしょうか？私たちはそのソリューションを作成して Cisco Trust Center で公開しました。その結果、即効性のある測定可能で持続する効果が確認されました。込み入った複雑な問題も、視覚化すれば協力して計画し、全力で取り組み、ソリューションを構築できるようになるのです。私の現在の会社は PrivacyCode です。当社が提供しているプラットフォームは、複雑な法的要件やポリシー要件を作成して適用する必要がある関係者のためのもので、技術チームで使用および測定可能なアクション指向のタスクにそれらの要件を効果的に変換することができます。絶え間なく変化して複雑さが増していく世界では、きめ細かなリーダーシップを明確に伝達することでレジリエンスが生み出され、強化されます。私は常に、大きな課題を解決するためのシンプルで取り組みやすい手順を探し求めています。

「絶え間なく変化して複雑さが増
していく世界では、きめ細かな
リーダーシップを明確に伝達する
ことでレジリエンスが生み出され、
強化されます」

Michelle Dennedy 氏 | PrivacyCode 社、CEO