サイバー リスクの軽減: 取締役会からCISOへの主な質問
この記事は、CISO 向けの予防的なコミュニケーション戦略に関するガイダンスを提供する四 部構成シリーズの第二回です。ここには、主要な情報を分かりやすく嚙み砕き、皆さんのアク ションを経営陣に通じる言語で表現する方法が含まれています。これにより皆さんは、インシ デント、イベント、脅威に等しく対応し、組織への影響を軽減するという重要な作業に集中し 続けることができます。
サイバーセキュリティ インシデントが発生した場合、取締役会は対策計画の存在を知りたいと考えます。イ ンシデントを迅速かつ効率的に、しかも徹底的に処理するための準備が整っており、ビジネスへの影響を最小 限に抑えることができるという確信を得たいと考えるのです。サイバー リスクの影響に関して伝達した後、 次に回答する必要がある喫緊の質問がサイバー リスク軽減計画に関するものになるのはこのためです。皆さ んは、「 状況は落ち着き、問題は適切に処理されたのか ?」 という質問への回答を準備する必要があります。
この質問から、以下の項目について検討すべきことがわかります。
- レスポンス計画はどのようなものだったのか ?
- 作業やリソースの割り当てはどのようなものだったのか ?
- 残っている作業は何か ?
- 驚いたことや得られた教訓はあったか ?
サイバー リスクの軽減 : 完了したのか ?
経営者や取締役が本当に知りたいのは、状況は落ち着いたのかということと、リスクが適切に処理されたと 保証できるものは何かということです。
経営陣 ( 将来的には監査委員会 ) からのこうした疑問に答えるための足固めに必要なものは、一にも二にもド キュメントです。リスク軽減への対処とその検証のために実行されたすべてのプロセス、コミュニケーショ ン、ステップを提示するには、インシデント レスポンス、パッチ管理、ゼロデイ脆弱性に関する計画がすべ て必要になる可能性があります。
ドキュメントは包括的でなければならず、計画以外にも以下の内容を含む必要があります。
- 実行された緊急の変更プロセス
- 関与した人員
- パッチとセグメンテーションの詳細 ( システムの優先付けとパッチ適用およびセグメント化の実行方法と タイミング )
- 重要なプロセスとシステムの関係
- プロセスの階層化方法
- 適用ルールの変更および導入方法
目標は、実行内容、タイミング、方法を正確に示すことです。これにより、注意点を明示し、経営陣や規制 当局および監査員が把握しようとする要素についてレポートできるようになります。
経営陣に情報を提供し続ける : 回復は瞬間ではなく旅のようなもの
取締役から「完了したのか ?、落ち着いたのか ?、終わったのか ?」と尋ねられた場合、回復をひと時の経験 ではなく、旅にあてはめてみることが重要です。回復とは、強化および高速化して戻ってくるために進行し ているプロセスです。
つまり、まず腰を落ち着けて反省会を開く必要があります。これにより、得られた教訓を明らかにし、時間 を節約したり、別のもっといい方法で実行できたりした部分を解明することができます。時間重視の場合は、 欠落したものがないか、隅々まで調べ尽くしたか、すべての手段を講じたかを確認するために、前述のドキュ メントが重要になります。ただし、運用効率に大きな違いをもたらす可能性がある細々としたことを特定し、 注意しておくことも重要です。
たとえば、特定の状況で簡単にたどれる連絡網や重要資産の存在場所を示すビジネスへの影響レポートがあ れば、人生で最もストレスの大きい日々を送っているときに、時間や労力を大きく節約できます。物事は振 り返ればよく見えてくるので、まずは時間をかけて、そのとき何が役立ったのかを解き明し、それから経営 陣に強化のための取り組みを説明します。
経営陣への回答を旅にあてはめることで、セキュリティは完了することも完璧になることも決してないもの の、強化や有効性の向上を続けることは可能であると気付いてもらうことができます。「ダンスを踊る日はダ ンスを習う日ではない」ことを覚えておいてください。つまり、すべてを周到にドキュメント化するのに加 えて、リハーサルと練習を積み重ね、何度も反復することを忘れないでください。皆さんがあらゆる機会を とらえて能力を準備し磨き上げていることや、次回のさらなる向上に向けて取り組んでいる内容を経営陣に 知ってもらいましょう ( 必ず「次回」が到来することを全員がわかっているわけですから )。
シリーズの第三回では「どのようなデューデリジェンスや保証を実施したのか ?」について取り上げます。ど うぞご確認ください。
サイバー リスクの軽減について取締役会と議論する方法の詳細は、こちらの動画をご覧ください。
お問い合わせ
インシデント レスポンス サービスが必要な場合は、サイバー保険会社で Unit 42® をぜひご指名くだ さい。.
Log4j 脆弱性などの大規模攻撃の被害を受けているかもしれないと感じる場合は、 Unit 42 までお問い 合わせください。チームメンバーがご相談に応じます。 Unit 42 のインシデント レスポンス チームは 24 時間、週 7 日、365 日対応可能です。また、予防評価をお申込みいただき、予防的な対策を取り入 れることも可能です。