サイバーセキュリティ・リスクを効果的に管理するためには、サイバーに関する深い専門知識を持たない取締役会や経営幹部が、組織全体への影響を理解することが極めて重要です。サイバーインシデントは、業務、財務、評判に甚大な影響を及ぼす可能性があるため、サイバーセキュリティは企業全体のリスクであり、経営陣、IT部門、セキュリティ部門、および運用部門が一体となって取り組む必要があります。
CISO やその他のセキュリティ・リーダーは、サイバー・リスクをリスク管理プログラム全体に統合する必要性を強調し、サイバーセキュリティを単なる IT 機能ではなく、オペレーショナル・リスク管理プロセスの一部として位置付けることで、この連携において極めて重要な役割を果たします。損失、ダウンタイム、および安全性の問題の防止に焦点を当てた平易なビジネス用語を使用することで、内部リスク、外部リスク、および事業継続性との関連性を示すことができます。
ここでは、CISOやその他のセキュリティリーダーが、経営陣や取締役会にサイバーリスクとオペレーショナルリスクの管理の重要性を伝えるために使える戦略をいくつか紹介する。
1.実例を使う
オペレーショナルリスクとは、接続されたプロセスや機能に対する視界の喪失や制御の喪失を引き起こす可能性のあるあらゆる状況を指し、視界や制御は、操作から自動的または遠隔的に回復することはできません。オペレーショナル・リスクの実際の例としては、都市インフラや営利企業を同様に標的とするランサムウェア、クレデンシャル・アクセスやリモートアクセスの搾取のような手口、特定のベンダーの機器を攻撃するための機能が開発された、よりカスタマイズされたインシデントなどがある。
ランサムウェアの最近の例としては、MGMリゾートとシーザーズ・エンターテイメントの事件がある。この事件は、分散されたオペレーション、スロットマシン、ATM、ウェブサイト、予約に影響を与え、推定1億ドルのコストでネットワークのシャットダウンにつながった。ペンシルベニア州アリキッパ水道局の侵入は、機器のデフォルト・パスワード設定を狙ったものだった。また、自動機械を危険にさらす国家主導のINCONTROLLERでは、特定の産業環境をターゲットに設計された3つの別々のツールが使用されました。
業種や環境にもよるが、自社の事業やインフラに同様の影響を及ぼす可能性のある重大なサイバーインシデントの最近の事例について話し合うことで、防御策やプロセス、運用上の想定、インシデントレスポンス計画、準備態勢やレジリエンスにおける潜在的なギャップなどについて話し合い、協力するきっかけを得ることができる。
2.ビジネスインパクトを説明する
ITリスクは歴史的に、繰り返し発生し、広く適用される可能性が高く、よりよく理解されているため、その影響と是正の必要性を評価する方法が確立されている。残念なことに、攻撃対象はそうした典型的なITシステムやビジネス・システムで終わるわけではない。まだ始まったばかりなのだ。
ITシステムはまた、オペレーション・テクノロジー(OT )や産業用制御システム(ICS)にも接続されている。ICSは、モーター、バルブ、ポンプ、タンク、その他の機械などを命令・制御するために、カスタムメイドのオペレーティングシステムを稼動させている。 サイバー攻撃は、これらのコンポーネントや、それらに依存するプロセスを停止させ、大幅な操業停止につながる可能性がある。
これらのOT 、ICSシステムは、競争的でハイパーコネクテッドな世界でビジネスを行うために必要なデジタルインフラに接続された仲介システムを通じて、リモートから狙われたり、潜り込まれたりする可能性がある。中間システムとは、サーバー、ラップトップ、ワークステーション、データベース、その他、攻撃を受けやすい汎用オペレーティングシステムを実行するシステムのことである。これらの例は、会社を安全や環境に関する懸念や事故、財務上の損失、法的処罰、顧客や株主の信頼の低下、潜在的な競争力の低下にさらす可能性がある。すべての取締役会は、重要なシステム、コンポーネント、プロセスへの影響の重要性を理解する必要がある。
3.規制とコンプライアンスの義務について説明する。
規制の状況はめまぐるしく、常に進化している。取締役会は、サイバーセキュリティの標準とベストプラクティスへの準拠を求める地域の規制要件について、最新情報を入手し、検討する必要があります。このような義務を果たし、規制当局による罰則を回避するためには、サイバーセキュリティが不可欠であることを強調する。ダウンタイムや損失、対応や修復のコスト、弁護士費用、利害関係者の管理など、将来のインシデント・コストを削減するための積極的な投資の可能性を強調する。
関連する規制情報を、次のような「if, then」文に抽出する:
- 特定の規制を遵守したいのであれば、特定のセキュリティ・コントロールを導入する必要がある。
- 新しい技術に投資したいのであれば、このようなセキュリティ上の懸念を探る必要がある。
- もし、ある規制上の約束を守れないのであれば、いつ、どこで、なぜ、そしてそれを補う要因があるのかを文書化する必要がある。
- 設計上、よりセキュアなシステムに更新するとしても、デバイス、ネットワーク、アクセス制御のギャップを把握する必要がある。
- 新しい業種や地域に進出する場合、コンプライアンスやセキュリティのための追加リソースが必要になるかもしれない。
最後に、コンプライアンスが冗長なトピックに思えても、継続的な認識と改善のために、取締役会レベルでトレンドを抽出する。取締役会の最新情報の箇条書きとして含めるべき時事問題には、コンプライアンスの最新情報、コンプライアンスや情報共有グループにとっての重要な日付やイベント、トレンド分析、地政学的紛争などがある。
4.リスク管理戦略の導入
現代のビジネスは、国境を越えてパートナー、サプライヤー、顧客にまで広がる複雑なデジタルシステムとプロセスの網に依存している。リスク管理戦略は、このような複雑さに対処する必要があります。なぜなら、1つの領域におけるセキュリティ・リスクはすぐに伝播し、環境全体とビジネスに影響を及ぼす可能性があるからです。組織は、組織全体のサイバー・リスクを特定、評価、緩和するために、さまざまなフレームワークを利用することができる。例えば、NIST サイバーセキュリティフレームワークやISA/IEC 62443は、評価と投資のためのトピックを評価する際に効果的である。
サイバーセキュリティをより広範な企業リスク管理(ERM)プロセスの一部として位置付けることで、取締役会が熟知している他のビジネスリスクと整合させることができる。サイバーセキュリティとオペレーショナルリスク管理に特化した取締役会レベルの委員会の設置を提案する。これにより、取締役会がサイバーリスクに取り組む姿勢を示すとともに、事業領域を超えたサイバーセキュリティ事項への継続的な注意を確保することができる。攻撃やインシデントが安全性、可用性、事業継続性に重大な影響を及ぼす可能性があることを強調し、組織全体でセキュリティに対する意識を高める文化を醸成することの重要性を強調する。
相互接続性と相互依存性により、サイバーセキュリティはビジネスのあらゆる側面に影響を及ぼすオペレーショナルリスクとなっている。取締役会は、コンプライアンス対策だけではこれらのリスクから企業を免れることはできないこと、サイバーセキュリティは漸進的かつ恒常的なものであり、1回で終わる戦術的目標ではないことを認識する必要がある。
これらのヒントを活用することで、CISO やその他のセキュリティ・リーダーは、サイバーセキュリティが単なる IT リスクではなくオペレーショナル・リスクである理由を効果的に伝え、最高レベルのリーダーシップによるコミットメントを必要とし、オペレーショナル・リスクを含むエンタープライズ・リスク・マネジメント戦略を強調することができる。
