※本記事は2017年5月18日に米国で掲載されたブログ記事 の抄訳を基にしています。

要旨

全米取締役協会(NACD)によると、取締役たちはサイバーセキュリティの問題対策が不十分だと感じています。ここで問題なのは、日々取り組んでいる他のリスクとサイバーセキュリティのリスクは別物だと、取締役たち自身が信じ込んでいることです。この認識は間違っています。受容、回避、軽減、移転など、適用するリスク戦略は同じです。取締役は、技術分野の経営幹部に対して、技術的なリスクをビジネスリスクへ転換するように求めければなりません。それがいま必要な変革です。ただし技術分野の経営幹部はリスク転換に不慣れなので、取締役はこの理解を手助けする必要があります。その次に取締役はリスク戦略に伴う技術的問題の概要を学び、理解しなければなりません。ネットワークセキュリティの実務者たちが推奨する、セキュリティのあらゆる側面に関する本を集めたCybersecurity Canonプロジェクトから学習を始めてください。手始めに読むべき本は、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

はじめに

全米取締役協会(NACD)が最近実施した調査によれば、取締役のうち「サイバーセキュリティリスクの微妙なニュアンスを把握しており、十分な情報に基づいて意思決定を行える」と自信を持って回答できたのはわずか19%に過ぎませんでした。また同協会の調査で「サイバーセキュリティリスクの監視が不十分」と感じている取締役の割合は59%にのぼっています[1]。今日、ほとんどの企業が事業をデジタル化していることを考えれば、これは衝撃的な数字です。世界中が急速にデジタル化を進め、自社の効率性とイノベーションを促進するなか、デジタル化していない企業を見つける方が難しいことでしょう。

現状に至った要因

こうした事態を招いた責任の多くは、CIO、CSO、CISOなど、ネットワークセキュリティ実務者のコミュニティにあります。1990年代中頃に最初のCISOが採用されてから今日に至るまで[2]、こうしたコミュニティは、サイバーセキュリティに伴うリスク、つまりサイバーリスクは、取締役たちが日々取り組んでいる他のさまざまなリスクとは別物だと主張してきました。つまり、サイバーリスクは主としてコンピュータやインターネット、ハッカーに関連したものであって特別な扱いを必要とするリスク カテゴリに属するものだという主張です。しかしながらこの認識は正しくありません。

サイバー リスクは特殊なリスクではない

労働災害、財務損失、事業継続性、法的責任、サイバーセキュリティ侵害など、どんな形を取ったとしてもリスクはリスクです。取締役がサイバーリスクに対応する方法は、他のすべてのリスクへの対応方法と同じで、潜在的に重大なビジネス リスクを軽減または排除する方法を見つけるということです。サイバー リスクへの対応にあたっても、受容、回避、軽減、移転など基本的なリスク管理戦略はそのまま使えます[3]が、そこでどのような技術的軽減戦略を選択しうるかについて、取締役はまだ経験が浅いというだけのことです。そこで技術分野の経営幹部の登場です。CIOやCSO、CISOは技術的詳細を理解していますから、潜在的なビジネス リスクについてはこうした経営幹部に説明を求めればよいのです。

とはいえ、技術分野の経営幹部にとってこの説明はやさしい仕事ではありません。技術的詳細は把握していても、技術的リスクのビジネス リスクへの転換は容易でないことが多いからです。そこでビジネス リスク戦略を知悉した取締役が、技術分野の経営幹部がそうしたリスク戦略を理解するための手ほどきをし、さらに「自社の脅威となる潜在的かつ実際的な影響リスク」と「ハッカーが仕掛けうる『怖い』リスク」を区別するための手ほどきもしなければなりません。ことハッカーに関しては、警戒心を抱かせるシナリオをいくらでも作ることができますから、その中から「発生すれば企業に大打撃を与え、かつ近い将来発生する可能性が高いシナリオ」を技術分野の経営幹部が選り分けられるよう、取締役は手助けをしなくてはなりません。なぜなら技術分野の経営幹部は、こうした方面の経験が浅いことが多いからです。ここまでできれば、あとは取締役が技術分野の経営幹部の推奨する技術的ソリューションの概要を理解するだけです。

取締役への課題

新たな知識領域について学ぶときに欠かせないのが文献の調査ですが、幸い取締役には頼れるコミュニティ プロジェクト「Cybersecurity Canonプロジェクト」があります[4]。ぜひこのコミュニティを活用してください。このコミュニティは、いわばサイバーセキュリティ書籍版の「ロックの殿堂」のようなもので、単なる書籍リストではありません。この書籍リストに名を連ねるには、いずれかのネットワークセキュリティ実務者が対象書籍について書評を書いた上、ネットワークセキュリティ実務者全員がその本を読むべき根拠を示さなければなりません。さまざまなネットワークセキュリティ専門家で構成される委員会があり、そのメンバーが提出された本をすべて読了し、候補リストに加える本を決定し、最終的にCybersecurity Canonに追加する本を選出しています。取締役向けの推奨図書として、現在候補リストにある2冊の本とすでに殿堂入りしている1冊の本をご紹介しましょう。

『Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers (マネジメントのためのサイバーセキュリティ 米国版)』(パロアルトネットワークス/ニューヨーク証券取引所、共著)

『Navigating the Digital Age(マネジメントのためのサイバーセキュリティ 米国版)』は、会社取締役や執行役員にサイバーセキュリティについて啓蒙し、情報を伝えることを目的とした最初の総合的な解説書です。取り上げている題材には一部重複する部分もありますが、寄稿者は30名を超え、内容も充実しており、密度の高い情報が集約されています。具体的には、取締役がその職務を果たすときの基本原則、参照すべき取締役会の規範、活用すべき経営幹部(CISO)、取り組みを支援するために新設すべき委員会、受託者責任と訴訟の可能性に関する懸念事項、サイバーセキュリティに関する株主と取締役の認識ギャップ、侵害情報の開示についてどう考えるべきかなどの情報が収録されています[5]。パロアルトネットワークスとニューヨーク証券取引所の共著として発行されたこの指南書は無料でダウンロードできます。本書の発行後、フランス、オーストラリア、日本、シンガポール、イギリスでも姉妹書が発行され、ドイツとオランダでも今年中の発行が予定されています [6]。

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』(Douglas W. Hubbard、Richard Seiersen、共著)

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』は、リスク評価担当者の必読書です。この本は従来の定量分析手法に基づいて書かれており、基本情報と実例がバランスよく記載されています。定量化できるデータ、標準化されたデータ、または過去の数理計算上の表形式データの不足という同様の課題を抱える他の業界が、従来型の統計モデリング/手法を使用した反復可能な正規の方法でリスクを測定できる理由について、本書の著者は説得力のある主張を展開しています [7]。

『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIR(Factor Analysis of Information Risk)フレームワーク[AK1] を使ったアプローチ)』(Jack Freund、Jack Jones、共著)

『Measuring and Managing Information Risk (情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』は、リスクの実態について説明するだけでなく、リスクの定量的な測定方法についても説明しています。本書を活用するとセキュリティポリシー実務者が自身の問題への理解度を経営陣に示すことができるようになります。この解説書には、企業のリスク管理形態に合わせ、財務の観点から成果を上げる方法が提示されており、リスク管理プログラムをゼロから作り上げる組織と既存のプログラムを強化する組織の両方が対象とされています。また本書はリスク理論、リスク計算、シナリオ モデリング、組織内のリスク伝達などの主要分野を網羅しています[8]。

おわりに

取締役が日常業務で取り組む他のすべてのリスクとサイバー リスクの間に違いはありません。インターネットが登場して間もない頃は、これとは逆の認識を技術者から植え付けられていたかもしれません。しかし今は、他のすべてのビジネス リスク同様、サイバーリスクも、受容、回避、軽減、移転という従来のリスク戦略を使えることを学びつつあります。技術分野の経営幹部の多くは、技術的リスクからビジネス リスクへの転換するための手助けを必要としていますし、取締役はその助けとなることができます。その上で、「深刻な影響を与え、発生する可能性の高いリスク」と「『怖い』リスク」を技術分野の経営幹部に区別して提示してもらえるように手ほどきしましょう。さらに、問題の概要を把握できるよう、取締役はCybersecurity Canonプロジェクトを参照し、ネットワークセキュリティ担当者のコミュニティが推奨する文献に目を通してください。それには次の3冊から始めるのがよいでしょう。つまり、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

出典

書評

参考資料


 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 3466

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 2487

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 2319

Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

  • 0
  • 3495

Petya Ransomwareを使用した攻撃を取り巻く脅威状況に関する最新情報

2017年6月27日、Microsoft Windows SMBプロトコルを使って広まっているPetyaマルウェアの新しい亜種を認識しました。マルウェアはETERNALBLUEエクスプロイトツールを使用してこれを実行しているようです。これは、2017年5月にグローバルに感染を広げたWanaCrypt0r / WanaCryマルウェアと同じエクスプロイトです。政府や重要インフラ事業者を含む複数の組織がネットワーク停止を報告しています。

Rick Howard, Palo Alto Networks,
  • 0
  • 1257