検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

取締役がサイバーセキュリティへの取り組みが不十分だと感じる理由と実行可能な対応策とは

Rick Howard 6 07, 2017 at 08:00 午前

※本記事は2017年5月18日に米国で掲載されたブログ記事 の抄訳を基にしています。

要旨

全米取締役協会(NACD)によると、取締役たちはサイバーセキュリティの問題対策が不十分だと感じています。ここで問題なのは、日々取り組んでいる他のリスクとサイバーセキュリティのリスクは別物だと、取締役たち自身が信じ込んでいることです。この認識は間違っています。受容、回避、軽減、移転など、適用するリスク戦略は同じです。取締役は、技術分野の経営幹部に対して、技術的なリスクをビジネスリスクへ転換するように求めければなりません。それがいま必要な変革です。ただし技術分野の経営幹部はリスク転換に不慣れなので、取締役はこの理解を手助けする必要があります。その次に取締役はリスク戦略に伴う技術的問題の概要を学び、理解しなければなりません。ネットワークセキュリティの実務者たちが推奨する、セキュリティのあらゆる側面に関する本を集めたCybersecurity Canonプロジェクトから学習を始めてください。手始めに読むべき本は、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

はじめに

全米取締役協会(NACD)が最近実施した調査によれば、取締役のうち「サイバーセキュリティリスクの微妙なニュアンスを把握しており、十分な情報に基づいて意思決定を行える」と自信を持って回答できたのはわずか19%に過ぎませんでした。また同協会の調査で「サイバーセキュリティリスクの監視が不十分」と感じている取締役の割合は59%にのぼっています[1]。今日、ほとんどの企業が事業をデジタル化していることを考えれば、これは衝撃的な数字です。世界中が急速にデジタル化を進め、自社の効率性とイノベーションを促進するなか、デジタル化していない企業を見つける方が難しいことでしょう。

現状に至った要因

こうした事態を招いた責任の多くは、CIO、CSO、CISOなど、ネットワークセキュリティ実務者のコミュニティにあります。1990年代中頃に最初のCISOが採用されてから今日に至るまで[2]、こうしたコミュニティは、サイバーセキュリティに伴うリスク、つまりサイバーリスクは、取締役たちが日々取り組んでいる他のさまざまなリスクとは別物だと主張してきました。つまり、サイバーリスクは主としてコンピュータやインターネット、ハッカーに関連したものであって特別な扱いを必要とするリスク カテゴリに属するものだという主張です。しかしながらこの認識は正しくありません。

サイバー リスクは特殊なリスクではない

労働災害、財務損失、事業継続性、法的責任、サイバーセキュリティ侵害など、どんな形を取ったとしてもリスクはリスクです。取締役がサイバーリスクに対応する方法は、他のすべてのリスクへの対応方法と同じで、潜在的に重大なビジネス リスクを軽減または排除する方法を見つけるということです。サイバー リスクへの対応にあたっても、受容、回避、軽減、移転など基本的なリスク管理戦略はそのまま使えます[3]が、そこでどのような技術的軽減戦略を選択しうるかについて、取締役はまだ経験が浅いというだけのことです。そこで技術分野の経営幹部の登場です。CIOやCSO、CISOは技術的詳細を理解していますから、潜在的なビジネス リスクについてはこうした経営幹部に説明を求めればよいのです。

とはいえ、技術分野の経営幹部にとってこの説明はやさしい仕事ではありません。技術的詳細は把握していても、技術的リスクのビジネス リスクへの転換は容易でないことが多いからです。そこでビジネス リスク戦略を知悉した取締役が、技術分野の経営幹部がそうしたリスク戦略を理解するための手ほどきをし、さらに「自社の脅威となる潜在的かつ実際的な影響リスク」と「ハッカーが仕掛けうる『怖い』リスク」を区別するための手ほどきもしなければなりません。ことハッカーに関しては、警戒心を抱かせるシナリオをいくらでも作ることができますから、その中から「発生すれば企業に大打撃を与え、かつ近い将来発生する可能性が高いシナリオ」を技術分野の経営幹部が選り分けられるよう、取締役は手助けをしなくてはなりません。なぜなら技術分野の経営幹部は、こうした方面の経験が浅いことが多いからです。ここまでできれば、あとは取締役が技術分野の経営幹部の推奨する技術的ソリューションの概要を理解するだけです。

取締役への課題

新たな知識領域について学ぶときに欠かせないのが文献の調査ですが、幸い取締役には頼れるコミュニティ プロジェクト「Cybersecurity Canonプロジェクト」があります[4]。ぜひこのコミュニティを活用してください。このコミュニティは、いわばサイバーセキュリティ書籍版の「ロックの殿堂」のようなもので、単なる書籍リストではありません。この書籍リストに名を連ねるには、いずれかのネットワークセキュリティ実務者が対象書籍について書評を書いた上、ネットワークセキュリティ実務者全員がその本を読むべき根拠を示さなければなりません。さまざまなネットワークセキュリティ専門家で構成される委員会があり、そのメンバーが提出された本をすべて読了し、候補リストに加える本を決定し、最終的にCybersecurity Canonに追加する本を選出しています。取締役向けの推奨図書として、現在候補リストにある2冊の本とすでに殿堂入りしている1冊の本をご紹介しましょう。

『Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers (マネジメントのためのサイバーセキュリティ 米国版)』(パロアルトネットワークス/ニューヨーク証券取引所、共著)

『Navigating the Digital Age(マネジメントのためのサイバーセキュリティ 米国版)』は、会社取締役や執行役員にサイバーセキュリティについて啓蒙し、情報を伝えることを目的とした最初の総合的な解説書です。取り上げている題材には一部重複する部分もありますが、寄稿者は30名を超え、内容も充実しており、密度の高い情報が集約されています。具体的には、取締役がその職務を果たすときの基本原則、参照すべき取締役会の規範、活用すべき経営幹部(CISO)、取り組みを支援するために新設すべき委員会、受託者責任と訴訟の可能性に関する懸念事項、サイバーセキュリティに関する株主と取締役の認識ギャップ、侵害情報の開示についてどう考えるべきかなどの情報が収録されています[5]。パロアルトネットワークスとニューヨーク証券取引所の共著として発行されたこの指南書は無料でダウンロードできます。本書の発行後、フランス、オーストラリア、日本、シンガポール、イギリスでも姉妹書が発行され、ドイツとオランダでも今年中の発行が予定されています [6]。

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』(Douglas W. Hubbard、Richard Seiersen、共著)

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』は、リスク評価担当者の必読書です。この本は従来の定量分析手法に基づいて書かれており、基本情報と実例がバランスよく記載されています。定量化できるデータ、標準化されたデータ、または過去の数理計算上の表形式データの不足という同様の課題を抱える他の業界が、従来型の統計モデリング/手法を使用した反復可能な正規の方法でリスクを測定できる理由について、本書の著者は説得力のある主張を展開しています [7]。

『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIR(Factor Analysis of Information Risk)フレームワーク[AK1] を使ったアプローチ)』(Jack Freund、Jack Jones、共著)

『Measuring and Managing Information Risk (情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』は、リスクの実態について説明するだけでなく、リスクの定量的な測定方法についても説明しています。本書を活用するとセキュリティポリシー実務者が自身の問題への理解度を経営陣に示すことができるようになります。この解説書には、企業のリスク管理形態に合わせ、財務の観点から成果を上げる方法が提示されており、リスク管理プログラムをゼロから作り上げる組織と既存のプログラムを強化する組織の両方が対象とされています。また本書はリスク理論、リスク計算、シナリオ モデリング、組織内のリスク伝達などの主要分野を網羅しています[8]。

おわりに

取締役が日常業務で取り組む他のすべてのリスクとサイバー リスクの間に違いはありません。インターネットが登場して間もない頃は、これとは逆の認識を技術者から植え付けられていたかもしれません。しかし今は、他のすべてのビジネス リスク同様、サイバーリスクも、受容、回避、軽減、移転という従来のリスク戦略を使えることを学びつつあります。技術分野の経営幹部の多くは、技術的リスクからビジネス リスクへの転換するための手助けを必要としていますし、取締役はその助けとなることができます。その上で、「深刻な影響を与え、発生する可能性の高いリスク」と「『怖い』リスク」を技術分野の経営幹部に区別して提示してもらえるように手ほどきしましょう。さらに、問題の概要を把握できるよう、取締役はCybersecurity Canonプロジェクトを参照し、ネットワークセキュリティ担当者のコミュニティが推奨する文献に目を通してください。それには次の3冊から始めるのがよいでしょう。つまり、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

出典

  • [1] “In Cyber, Who Do We Trust to Protect the Business?” Peter Gleason, http://www.darkreading.com/risk/in-cyber-who-do-we-trust-to-protect-the-business-/a/d-id/1328245
  • [2] “Evolution of the CISO and the Confluence of IT Security 7 Audit,” Thomas Borton, ISACA (2014年3月13日), https://goo.gl/ocM6RL (最終アクセス日: 2017年4月15日)
  • [3] “4 Ways to Handle Risk (Only One is Bad),” Ken Stasiak, SecureState Blog (2015年7月7日), https://www.securestate.com/blog/2015/07/07/4-ways-to-handle-risk-(only-one-is-bad) (最終アクセス日: 2017年4月16日)
  • [4] “The Cybersecurity Canon: Books Every Cybersecurity Professional Should Read,” Palo Alto Networks, https://www.paloaltonetworks.com/threat-research/cybercanon.html (最終アクセス日: 2017年4月18日)
  • [5] “Book Review: Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers,” Rick Howard, Palo Alto Networks CSO (2016年1月), http://researchcenter.paloaltonetworks.com/2016/01/the-cybersecurity-canon-navigating-the-digital-age-the-definitive-cybersecurity-guide-for-directors-and-officers/ (最終アクセス日: 2017年4月16日)
  • [6] “Navigating the Digital Age Download,” Security Roundtable, https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf (最終アクセス日: 2017年4月17日)
  • [7] “How to Measure Anything in Cybersecurity Risk,” Douglas W. Hubbard, Richard Seiersen, Wiley (2016年4月25日), https://www.goodreads.com/book/show/26518108-how-to-measure-anything-in-cybersecurity-risk?ac=1&from_search=true (最終アクセス日: 2017年4月16日)
  • [8] “Measuring and Managing Information Risk: A FAIR Approach,” Jack Freund, Jack Jones, Butterworth-Heinemann (2014年1月1日), https://www.goodreads.com/book/show/22637927-measuring-and-managing-information-risk?ac=1&from_search=true (最終アクセス日: 2017年4月16日)

書評

  • “Book review: Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers,” Rick Howard, Palo Alto Networks CSO (2016年1月), http://researchcenter.paloaltonetworks.com/2016/01/the-cybersecurity-canon-navigating-the-digital-age-the-definitive-cybersecurity-guide-for-directors-and-officers/ (最終アクセス日: 2017年4月16日)
  • “Book review: How to Measure Anything in Cybersecurity Risk,” Steve Winterfeld, Cybersecurity Canon Committee Member (2016年12月2日), http://researchcenter.paloaltonetworks.com/2016/12/cybersecurity-canon-measure-anything-cybersecurity-risk/ (最終アクセス日: 2017年4月16日)
  • “Book Review: Measuring and Managing Information Risk: A FAIR Approach,” Ben Rothke, Cybersecurity Canon Committee Member (2015年9月10日), http://researchcenter.paloaltonetworks.com/2015/09/the-cybersecurity-canon-measuring-and-managing-information-risk-a-fair-approach/ (最終アクセス日: 2017年4月16日)

参考資料

  • “The 6 Fundamental Techniques of Risk Control,” POMS & Associates (2014年4月21日), http://www.pomsassoc.com/6-fundamental-techniques-risk-control/ (最終アクセス日: 2017年4月16日)
  • “The Library,” The Security Roundtable (2015年9月16日), https://www.securityroundtable.org/library/ (最終アクセス日: 2017年4月16日)

 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.