※本記事は2017年5月22日に米国で掲載されたブログ記事の抄訳を基にしています。

2018年5月25日と10日に一般データ保護規則(General Data Protection Regulations, GDPR)またはネットワーク及び情報システム指令(NIS Directive)が欧州でそれぞれ発効されますが、今月はそのいずれか(場合によっては両方)に準拠するために準備を進めていく12ヵ月のカウントダウン開始月となります。

昨年のうちに準拠に向けた取り組みを始めたかどうかにかかわらず、上記の新しい法に対する準備期限は急速に迫りつつあり、新たなサイバーセキュリティ制度の見直し、変更及びテストをしなければならないというプレッシャーが高まっています。

カウントダウンが始まった今、サイバーセキュリティのリーダーたちとビジネスリーダーたちの現在の心理状態はどうなっているのでしょうか。最近、Palo Alto Networksの調査で判明したのは、欧州のITセキュリティのプロフェッショナルたちは全般的に上記の法が個人データやサイバーセキュリティの侵害回避にいかに役立つかについて楽観的であるということでした。ただし、変更が容易かどうかについてはまだ様子を見ているところです。非常に明白な点としては、新しいアイデアに対する寛容性が地域毎に大きく異なっていることです。スウェーデンなどの国々では、上級管理職は内部の利害関係者から提案された変更に関するアイデアを受け入れる可能性が低い(28%)のに対し、オランダの回答者は組織を最適に保護するために新たな方法を採用することに対してかなり意欲的です(39%)。

この未知のものに対する恐怖は、今後1年間引き続き大きな障害となるでしょうし、すべての企業が変更の有益性を認めているわけではありません。必要な変更を実装するための支持を得られると思っているのは回答者のわずか1/3のみであり、障害を克服していかなければならないと感じている人が大半です。

新たな法に準拠することに対するプレッシャーによって、変化に向けたアイデアに柔軟になっていると答えたのは、たった10人に1人であることから、欧州の企業が2018年5月に向けて確実に準備するには認識を大きく変える必要があります。弊社の調査から明らかになったのは、以下のとおりです。

  • 法の変更により、以前は不明だった個人データやサイバーセキュリティ侵害について一気に報告義務が生じるのではないかと懸念しているITセキュリティ実務者が、43%いました。
  • 既存のセキュリティシステムがすでに広範にわたって安全であるため、システムの変更や更新は避けていると答えたIT実務者は半数(49%)でした。
  • GDPR/NISの実装は財政面と運用面の両方で悩みの種であると思っているITセキュリティ実務者は56%でした。

これらすべてを考慮した上で、2018年5月に向けて自社の準備を進めていく方法が複数あります。

  • どの情報がどのアプリケーションを通じて使われているかを可視化してください。テクノロジーを通じて自社が情報をどのように処理しているかについて継続的に把握できていない場合、その処理が適切かどうか、情報処理に関連してどのような制御を配置する必要があるのかを検証できないからです。
  • あまりに多くのサイバーセキュリティが時代遅れのテクノロジーを使っています。サイバーセキュリティは進化し続けるものですし、最も不足しているのはスキルの高いサイバーセキュリティ実務者であることを鑑みると、今回の新しい規制を機に時代遅れのテクノロジーを一掃しすべてのものが現在および将来の目的に適したものであるかを検証するチャンスに変えるべきです。攻撃者と同じ速さで動作するように自動化された適応型のサイバーセキュリティのエコシステムをどのように適用し、維持するかを検討してください。
  • 自社のサイバーセキュリティの効果を検証するため、明快な予測基準および要求基準を保持するようにしてください。自社および他社に対し、自社がリスクに対する最新のベストプラクティスに効果的に合致できているかどうか証明できるようにする必要があります。
  • 自社の機能をテストしてください。テクノロジーだけでなく、広範なビジネスチームを含め、テクノロジー周囲の人々とプロセスもテストするようにしてください。
  • サイバーセキュリティのリーダーたちは、サイバーセキュリティ機能が自分たちの直面しているリスクに即したものであるかどうか、「最先端」と言われるだけの最新のベストプラクティスと明確に文書化されたプロセスおよび方策を活用しているかどうかを検証する必要があります。

まもなく発効される新たな法に対してどのように準備を進めることができるかについて詳しくは、下記のPalo Alto Networksの資料を参照してください。