サイバー リスク影響度: 取締役会からCISOへの主な質問
この記事は、CISO 向けの予防的なコミュニケーション戦略に関するガイダンスを提供する四部 構成シリーズの第一回です。主要な情報を説明し、アクションを経営陣に通じる言語で表現す る方法が含まれています。これにより、インシデント、イベント、脅威に等しく対応し、組織 への影響を軽減するという重要な作業に集中できます。
侵害を受けたことや壊滅的な被害をもたらすエクスプロイト ( Log4j 脆弱性の実行など )に対して脆弱だと判 明した場合、多くはセキュリティ チームほぼ全員の生活時間を使う一連の活動が開始されることになります。 CISO であればご存知のとおり、脅威が完全に評価、抑制、軽減され、最終的に除去されるか、少なくとも業 務を「普通の」状態に戻せるポイントまで制圧されるまでは、ゆっくり眠ることができません。
しかし、脆弱性や攻撃の影響を把握して最小化しようとしているのは、CISO だけではありません。チームの 他の幹部たちも、最新の進行状況について常に関心を抱いています。
ここでは、「リスク エクスポージャーはどのようなもので、実際に何か影響を経験したか ?」という問いに答 える準備をする方法を見ていきましょう。
この質問から、以下の項目について検討すべきことがわかります。
- ビジネスクリティカルなシステムやデータに影響はあるのか、それはビジネスにどのように影響するのか ?
- エクスポージャーを制限するためにどのようなことをやったのか、これからどのようなことをやる予定か ?
- 主要な戦略パートナーやサードパーティについてはどうか ? これらはさらなるリスクをもたらさないか ?
サイバー リスク エクスポージャーの定量化 : 報告する悪影響の正 確な大きさは ?
経営陣や取締役が本当に知りたいのは、悪い事象が発生している確率、発生している場合、それは正確にど の程度の悪影響を及ぼすのかということです。リスク エクスポージャーは発生可能性と影響との乗算で計算 しますが、取締役会で数式を検討することはありません。取締役会で検討されるのは、ビジネスで重要な機 能に及ぼす影響と、主要なデータを保護し続ける方法、顧客満足を維持する方法と、最終的には収益活動を 続ける方法です。
リスクの評価とレポートを行う場合には、すべてのネットワークとシステムを適切に分析して、エクスポー ジャーがどの範囲まで広がっているのか正確に把握する必要があります。さらに、業務全体を見渡して、リス クをもたらす可能性があるサードパーティ、パートナー、またはサプライ チェーン要素を特定する必要もあ ります。エクスポージャーを制限するためにベンダーや戦略パートナーが実行している内容を理解するには、 粘り強さが必要になると考えられます。しかし、攻撃を受けやすい状態になったソフトウェアや統合の一部 から不意打ちを食らうよりは、多少の煩わしさの方がましです。
この詳細な分析は、影響を受ける可能性があるビジネスクリティカルなシステム、データ、操作と、それがビ ジネスにもたらす意味に関して、取締役が抱いている懸念に答えるために役立ちます。また、リスクを階層化 し、可能性の高い質問、たとえば「高リスクのサードパーティのうち、リスクを制御できているのはどれで、最も不安があるのはどれか ?」といった質問に答えられるようになります。
さらに、以下の内容に関する詳細な解説を行う機会を得たいと考えることでしょう。
- エクスプロイトが成功した場合に実施する計画
- 重要な機能の提供を維持するための「止血」方法
- 回復のための事業の計画
ここには、エクスポージャーの制限および運用の レジリエンス向上 のために実行した、または実行中のすべ ての事柄 ( サードパーティのビジネス エコシステムを含む ) に関する議論を含める必要があります。これによ り、日々の業務機能を維持することができます。
ビジネスへの影響に命名 : 明確化する
影響に関することは、実際にはチームの戦術的な回答の範疇を超えています。技術および業務に関して考え られるすべての影響を網羅するように、大局的に考える必要があります。たとえば、以下の事項に関して評 価およびレポートします。
- コスト : 影響を受けたアプリケーション、システム、またはインフラストラクチャのレスポンス、回復、再 構築、置き換え、または変換にはどのようなコストがかかりましたか ? その他のコスト ( チームからの離 脱や、他のアクティビティから焦点を移すことで生じる目に見えないコストなど ) についてはどうですか ?
- 戦略的影響 : 競合上の有意性や市場シェア / 位置付けで失ったものはありますか ?
- 評判へのダメージ : 顧客の満足度やロイヤルティに何か変化はありましたか ? IR やパートナー エコシステ ムに影響はありましたか ?
- 法規制のコンプライアンス問題 : コンプライアンス義務に影響したり、法的な問題が発生したりしましたか ? たとえば、投資家や顧客による訴訟の可能性がありますか ? 罰金が発生しましたか ? 規制対象データ や機密データが流出しましたか? 顧客データを保護するために合理的な手順が踏まれていますか?そして、 顧客データの保護に注意が払われていることを、企業はどのように示すことができますか ? (FTC は先日、 そのすべての法的権限を使用して、重大な既知の脆弱性へのエクスポージャーから顧客データを保護する ために合理的手順を踏むことを怠った企業を訴追する意思があるという警告を発表しました。)
- 業務の中断 :サービスまたはサプライ チェーンは影響を受けましたか ? これらのアクティビティによっ て、戦略イニシアチブが遅れたり、危険にさらされますか?将来的な影響を最小化するために設計され実 施されているレジリエンス手法はどのようなものですか ?
これらの質問への回答を用意して会議に臨むと、現在対応している内容や受容可能なリスク レベルを維持す るための計画を、取締役会で説明しやすくなります。
シリーズの第二回では「状況は落ち着き、問題は適切に処理されたのか ?」という質問への答え方について取 り上げます。どうぞご確認ください。
サイバー リスク エクスポージャーとその他の重要な問題について取締役会と議論する方法の詳細は、こちら の動画をご覧ください。
お問い合わせ
インシデント レスポンス サービスが必要な場合は、サイバー保険会社で Unit 42® をぜひご指名ください。
Log4j 脆弱性などの大規模攻撃の被害を受けているかもしれないと感じる場合は、 Unit 42 までお問い 合わせください。チームメンバーがご相談に応じます。Unit 42 のインシデント レスポンス チームは 24 時間、週 7 日、365 日対応可能です。また、予防評価をお申込みいただき、予防的な対策を取り入 れることも可能です。