サイバーレジリエンス： CISOs は理解すべき企業の必須要件

2021年5月、コロニアル・パイプラインがダークサイド・ハッカーの標的となった際、CEOのジョセフ・ブラウントは440万ドルの身代金を支払うという非常に物議を醸す決断を下した。この攻撃により米国の重要なインフラが危機にさらされ、ジョー・バイデン大統領への毎日のブリーフィングにつながった。ブラウントは、身代金支払いを国家にとって必要なものと正当化し、この決断を自身のキャリアで最も困難なものの1つであると述べた。

「私たちは苦境に立たされ、どの企業も直面したくないような難しい選択を迫られた」と、ブラウントは米国上院国土安全保障・政府問題委員会で証言した。

2023年にはランサムウェアの支払額が過去最高の11億ドルに達するなど、企業リーダーにとってこのような難しい選択が頻繁に行われるようになってきている。 攻撃が発生するか否かが問題なのではなく、いつ発生するかが問題であると理解する CSO や CEO も増えている。

「私にとって最も大きな変化は、攻撃が起こることを完全に受け入れるようになったことだ」と、ISTARIとオックスフォード大学が発表した報告書によると、40億ドルの欧州企業のCEOは述べている。「信じてほしいが、攻撃が起こることを受け入れる組織と、攻撃を撃退できると考える組織では、アプローチに根本的な違いがある」

情報漏えいの必然性を受け入れるという考え方により、企業は今日よりもサイバー攻撃への耐性を高めることができる。 多くの場合、企業はレジリエンスを規制当局へのチェックリスト作成作業と捉え、攻撃後に本当に立ち直るために必要なものをすべて CISO に提供することを怠っている。

RapidFort の CEO であるファリマーニ氏は、サイバーセキュリティ事件に耐えて回復する能力は、コンプライアンスを超えた考え方の転換が必要だと語る。

「確かに、重要なソフトウェアとデータのバックアップは完了している、というチェックボックスに常にチェックを入れてきたが、不測の事態が発生した場合に迅速に復旧できるだろうか、それとも2週間かかるだろうか？ そのようなシステムがすべて正常に機能していることを常に確認できているだろうか？」とファリマーニ氏は CSO に語っている。

4月に発表されたバラクーダのレジリエンスに関する報告書によると、サイバーリスクへの対応能力について1から10の数字で評価するよう求められた際、ITセキュリティのリーダーの多くは悲観的な見方を示した。金融サービス機関が最も準備が整っているようで、55%が自社のセキュリティ体制を非常に有効であると評価した。一方、工業および製造部門で事業を展開する企業の32%のみが楽観的な見方を示し、小売業ではその数字は39%であった。一般的に、小規模な企業ほどサイバー脅威への対応に自信がない。

地政学的な不安定さ、人工知能、富の不平等の増大に伴い、最高情報セキュリティ責任者（CISO）は、組織のサイバー防御をさらに強化するだけでなく、サイバー攻撃が発生した場合に迅速に回復できるよう、最悪のシナリオに備える手助けもしなければならない。

サイバーレジリエンスが脚光を浴びる

サイバーレジリエンスの概念は、今日のビジネス戦略全体にとって不可欠な要素へと進化してきた。実際、Trustwave の CISO である コリー・ダニエルズ氏は CSO 誌に対し、「役員会は『正式な肩書きを持つ最高レジリエンス責任者（Chief Resilience Officer）を置くことが重要か』と問い始めています」と語っている。

コロニアル・パイプラインが経験したような、最近話題となったサイバー攻撃を受けて、CIA（機密性、完全性、可用性）のトライアッドにおける可用性の要素の重要性が増している。なぜなら、業務の中断は業務継続性だけでなく、顧客の信頼や企業に対する市場全体の評価にも影響を与えるからだ。

ダニエルズ氏は、サイバーレジリエンスに対する「包括的なアプローチ」の採用は不可欠であると語る。これは、従業員やパートナーから役員会に至るまで、ビジネスのあらゆる側面とあらゆるチームを考慮に入れる必要があるからだ。

多くの場合、組織は自らが認識している以上の能力を持っているが、これらのリソースはさまざまな部署に分散していることがある。また、サイバーレジリエンスを確立する責任を持つ各グループは、組織内の既存の能力について十分な可視性を欠いている可能性がある。

「ネットワークとセキュリティの運用には、他者が活用できる非常に豊富な情報がある」とダニエルズ氏は言う。

多くの企業がサイバーレジリエンスを企業リスク管理プロセスに統合している。脆弱性の特定、リスク評価、適切な管理策の実施など、積極的な対策に乗り出しているのだ。

「これには、エクスポージャー評価、ペネトレーションテストなどの定期的な検証、そして脅威をリアルタイムで検知し対応するための継続的なモニタリングが含まれる」と、ガートナーのアナリスト、アンジェラ・チャオ氏は言う。

FS-ISAC のグローバルビジネスレジリエンス担当ディレクター、キャメロン・ディッカー氏によると、こうした事前対策は、多くの場合、組織内の即時の境界を越えてベンダーやパートナーにまで拡大する。

「企業は、サービスプロバイダーやソフトウェアサプライチェーンを詳細に分析し、セキュリティリスクがどこにあるかを特定し、それに応じたインシデント対応計画を立てるべきだ」と彼は言う。

ソフトウェアサプライチェーン：レジリエンス方程式における重要な要素

残念ながら、Trustwave のダニエルズ氏が指摘するように、ソフトウェアサプライチェーンの分析は、サイバーレジリエンスの議論が十分されていない分野のままである。

「企業は、サプライチェーンに対する徹底的な侵入テストとリスク評価を行い、サプライヤーにサイバーセキュリティ要件を課し、サプライチェーンの混乱が業務に与える影響を軽減するための緊急時対応計画を立てるべきだ」と彼は言う。

潜在的なベンダー、特に企業のプライベートネットワークに接続するベンダーを検討する際、セキュリティ担当者は、契約またはマスターサービス契約（MSA）がサイバーおよびビジネスの両面で全体的な回復力について非常に具体的に記載されていることを確認しなければならないと、GuidePoint Security の事業継続チームリーダー、ボビー・ウィリアムズ氏は言う。

「ベンダーは、契約上、定義された事業継続、災害復旧、情報セキュリティプログラムに責任を持つべきである」とウィリアムズは付け加える。 「ベンダーの回復力を実証するための定義されたテストプログラムは契約に含めるべきであり、テスト結果は企業が確認できるようにすべきである」

ベンダーがソフトウェアサービスやアプリケーションを提供している場合は、契約書に復旧時間目標（RTO）と復旧時点目標（RPO）を明記すべきである。

「ベンダーは、要求されたテストによって RTO と RPO を実証できなければならない」とウィリアムズ氏は言う。「また、ベンダーは、顧客のデータをどのようにバックアップし、データ保持スケジュールを提供するかを実証することを契約上義務付けられるべきである」とウィリアムズ氏は付け加える。顧客のデータのバックアップの代替として、データのミラーリングは受け入れられないとウィリアムズ氏は言う。

ソフトウェアサプライチェーンに関連するリスクを軽視すべきではない。

「最近、サイバー攻撃を受けたケースがいくつかあった」と、CyberMaxx の最高情報セキュリティ責任者（CISO）であるアーロン・シャハ氏は言う。「今後も重要な監視が必要とされる分野だ」

AIは複雑性を増す

ハッカーのツールとして生成型AIが台頭したことで、企業のレジリエンス戦略はさらに複雑化している。生成型AIは、スキルレベルが低い個人でも複雑なサイバー攻撃を実行できる手段を提供するためだ。その結果、攻撃の頻度と深刻度が増加する可能性があり、企業は対応を強化せざるを得なくなる。

その一方で、生成型AIツールは防御目的にはそれほど効果的ではない。 組織は主にアシスタント的な役割としてそれらを使用している。AIが有効であることが証明されている分野には、脅威の検出と分析、異常検出、行動モニタリング、自動応答システムなどがある。 人工知能はリスク管理やコードレビューにも使用されている。

「AIアルゴリズムは膨大なデータを迅速に分析し、パターンを特定し、人間のオペレーターには気づかれない潜在的な脅威や脆弱性を検出することができる」と、アクセンチュア・セキュリティのグローバル戦略責任者であるヴァレリー・アバンド氏はCSOに語っている。

サイバーレジリエンスプログラムを構築し維持する上でも、AIを活用するメリットがある。 「AIセキュリティポリシーをカスタマイズして開発することから、高度なAIテクノロジーを導入し、継続的な運用サポートを提供することまで、組織のソリューションは、AI導入のプロセス全体を通じて信頼性、透明性、コンプライアンスを確保すべきです」と、MorganFranklin Consultingのサイバーおよび運用レジリエンス担当責任者、タマラ・ノーラン氏は語る。

しかし、現時点では、サイバーセキュリティにおけるAIは人間の監視の代替ではなく、あくまで補助的な役割にとどまっている。 「AIは特定の手段的な側面で支援することはできますが、AIの進化段階では、リスク管理への貢献は依然として限定的です」と、Cossack Labsのセキュリティエンジニアリング部門責任者、アナスタシア・ヴォイトヴァ氏は言う。 「AIはセキュリティ専門家のためのツールであり、セキュリティ専門家そのものではありません」

RapidFortのファリマニ氏もこれに同意し、AIツールは確かにレジリエンス計画の策定と伝達に役立つが、システムを保護していると自動操縦で信頼して任せられるほど信頼できるものではないと付け加えている。

今後数年間で、サイバーセキュリティの回復力におけるAIの役割は拡大するだろう。AIを搭載したツールは、脅威をリアルタイムで検知し、それに対応することがより上手になるからだ。さらに、Abend氏によると、AIはユーザー認証とアクセス制御メカニズムを強化し、重要なインフラシステムの回復力を全体的に向上させるために活用される可能性が高い。

規制がサイバーレジリエンスを複雑にする理由

世界中で進化する規制の枠組みは、セキュリティ責任者が遵守すべきあらゆる事項について常に最新情報を把握しておくことを困難にしている。しかし、これらの法的要件に従うことは、リスクを軽減し、組織の評判を維持することに役立つ。

「規制は、企業がエンタープライズリスクマネジメントの取り組みに重点的に取り組む助けとなり、企業のレジリエンス戦略に対する説明責任を高める上で大きな役割を果たすなど、さまざまな利点をもたらします」と、Bishop Fox のレッドチームプラクティスディレクター、トレヴィン・エッジワース氏は語る。同氏によると、これらのルールに従うことで、情報漏えいやセキュリティ対策に関する透明性を高めることができるという。

欧州連合のデジタル業務継続法（DORA）や米国証券取引委員会（SEC）が発行する規制は、企業のサイバーレジリエンスへの取り組み方を変えている。

DORAは2025年1月17日に施行され、銀行、保険会社、投資会社などの金融機関のセキュリティを強化することを目的としている。EU域外の金融機関や情報通信技術サービスプロバイダーも、EUに拠点を置く金融機関に重要な技術サービスを提供する場合は、DORAを遵守しなければならない。

「この新しい規制とサイバー攻撃に対する一般的な懸念を考慮すると、アドバイザリー企業はあらゆる脅威に対する回復力計画に費やす時間を減らし、IT 回復力、特にビジネスプロセスとそれを支えるアプリケーションやインフラストラクチャの連携に費やす時間を増やしている」と MorganFranklin の Nolan 氏は CSO に語っている。

彼女は、DORAなどの規制で求められる項目を単にチェックするだけでなく、レジリエンスのあらゆる側面をカバーする努力をするよう企業にアドバイスしている。「DORAの要件を満たす前に、基礎となる業務レジリエンスの要素がすでに整っていることが前提となっている」ためだ。

米国市場で事業を展開する企業も、常に警戒を怠らず、進化し続ける規制へのコンプライアンスを確保する必要がある。2023年7月、証券取引委員会（SEC）は上場企業に対して新たな報告要件を導入した。この規則では、重大なサイバーセキュリティインシデントに関する8-K開示を義務付け、企業は毎年、自社のサイバーセキュリティリスク管理、戦略、ガバナンスに関する重要な情報を提供することが求められる。

この要件を満たすため、ほとんどの公開企業は、インシデントを評価、評価、対応するためのシステムを導入する積極的な措置を講じている。

「残念ながら、多くの場合、これらのプロセスは事業継続性フレームワークの外側に構築されているため、企業の危機管理プログラムと統合されていない」とノラン氏は述べ、組織が法規制の枠組みに積極的に取り組み、サイバーレジリエンス戦略に統合することを推奨している。このアプローチにより、罰則を最小限に抑え、サイバーレジリエンスの全体的な態勢を強化することができる。

ガートナーの趙氏によると、DORAやSECが発行する規制は世界中に波紋を広げる傾向がある。

「ある管轄区域における規制の変更は、しばしば国境を越えた影響を及ぼす。なぜなら、グローバルに事業を展開する多国籍企業は、複数の規制枠組みを順守する必要があるからだ」と彼女は言う。「そのため、組織は異なる市場でサイバーレジリエンス戦略を調和させ、一貫したセキュリティ対策と各種規制へのコンプライアンスを確保する必要性が生まれた」

また、サイバーレジリエンスの重要性を認識させる上でも、規制は重要な役割を果たしている。Accenture Security の Abend 氏は、規制は企業が自社のセキュリティ体制や取締役会の監督・ガバナンスを評価するよう促すものだと述べている。

「しかし、CEO、経営陣、役員会において、これらのリスクに対する認識が高まっている。その背景には、規制だけでなく、ビジネスの本質的な懸念がある」と彼女は言う。

しかし、規制は役立つが、コンプライアンスだけでは必ずしもレジリエンスを意味するわけではない。

「企業は、コンプライアンスを徹底していればセキュリティも万全であるという誤った安心感を抱く危険性がある」と、Bishop Fox の Edgeworth 氏は指摘する。

人材の重要性

多くの組織がサイバーレジリエンスのための技術的ソリューションに投資する一方で、適切な人材を確保することや、セキュリティ意識の文化を育成することの重要性をしばしば見過ごしている。

「サイバーセキュリティの有能な人材を安価で迅速に見つけられるようになったことが、業界に脆弱性をもたらしている」と、CyberMaxxのシャハ氏は言う。

そのため、セキュリティのリーダーは、進化する人材ニーズを満たすために、強固で多様な調達戦略を展開する必要がある。

さらに、フィッシングメールやパスワードセキュリティに関する基本的な知識にとどまらないトレーニングプログラムにも投資すべきだと、Trustwaveのダニエルズ氏は言う。トレーニングでは、「サイバー脅威、データ保護の重要性、サイバーレジリエンスの維持における全員の役割」についてより深い理解を身につけるべきだと、同氏は付け加える。

演習や危機シミュレーションも有効だ。 「企業は、演習にさまざまなシナリオを取り入れることで、対応計画が予期せぬ事態にも対応できることを保証すべきです」と、GuidePoint のウィリアムズ氏は言う。 「計画プロセスが適切かつ最新の状態に保たれていれば、こうしたブラック・スワン・イベントにも自信を持って対処できます。

このような演習は定期的に実施し、難易度を高めて行うべきである。FS-ISACのディッカー氏は、「チーム、方針、手順の限界に挑戦するような難しい演習を実施することで、組織は自らの限界と改善すべき点を把握できる」と語る。「インシデントが発生してから初めて対応計画を試すようなことがあってはならない」