サイバー適正評価: 取締役会からCISOへの主な質問

サイバー攻撃が発生した場合、取締役会は CISO に回答と見解を求めるものです。孤独な立場かもしれません が、独りきりというわけではありません。それどころか、計画や行動が業界のベスト プラクティスに裏打ち され、また適用可能なすべてのガイドラインや要件に従っていることを示すことができれば、取締役会と良 好な関係を築くことができます。さらに良いのは、実施した対策をサードパーティの専門家に検証してもら い、万全の手を打った上でビジネスの保護に必要な業務を遂行していることを示して、利害関係者が安心で きるようにすることです。

取締役会はサイバーリスクの影響とその軽減について理解すると、「どのようなサイバーセキュリティの デューデリジェンスと保証を行ったのか」 と質問する可能性があります。

この質問から、以下の項目について検討すべきことがわかります。

• 独立した検証作業を実施したか
• 検証作業の担当者、検証作業の内容と程度 ( 脅威ハンティング、セキュリティ侵害調査など )
• 社内での検証作業の場合、その方法により堅牢性を確保できたことをどのように確認したのか

サイバーセキュリティ デューデリジェンス : 適正な実施である ことを確認する方法

ここで重要なのは、取締役会やその他の主要な利害関係者に対して、以前実施した分析に客観性があること を保証することです。この分析では、脆弱性や攻撃が軽減されたことを示すだけでなく、その後作成されて 広まったエクスプロイトからフォローアップ攻撃を受けない運用環境であることも示す必要があります。

オープンソース ソフトウェアを利用することが多く、グローバルに展開する組織は、規制強化 (CCPA、GDPR など ) が進む当局の監視下にあります。こうした組織では、第 2 の客観的な視点により、リスクが軽減され ていること、またフォローアップ攻撃を受けにくい環境であることを確認することをお勧めします。

そのためのツールやサービス ( 侵害シミュレーション プラットフォーム、独立した専門家など ) があり、組 織がエクスプロイトを複製し、特定の脆弱性に対して無防備でない環境であることを検証できます。これら のツールにより特別なデューデリジェンスを実施して「( セキュリティにおける ) 健康証明書」の検証を行う ことで、取締役会にさらなる保証を示すことができます。

リスク評価データの管理 : 解明すべきさまざまな事柄

確かなデータソースと洞察により回答を見つけ出すことができれば、正しく行動したことを示すことができ ます。これは非常に重要ですが、容易なことではありません。 セキュリティ侵害調査と同じくらい簡単なこ とを考えてみましょう。企業にとって適切な範囲でセキュリティ侵害調査を実施したことをどのように説明 しますか。資産の優先順位付けの方法を説明しなければならない場合もあります。その方法は、特定の重要 度レベルに基づくこともありますし、現実的でなくなることが多いのですが、堅牢なビジネス インパクト分 析やデータ分類スキームに基づくこともあります。

重要なのは、所属する意思決定階層と明確な関係を築くことです。そうすることで、デューデリジェンスを 実施し、特定のロードマップの経路を選択した理由を実証することができます。たとえば、ある方法でタス クの範囲を設定した理由や、実際に完了した作業を示すことができなくてはいけません。

このシリーズの第四回をご覧ください。「規制やその他コンプライアンスに関する問い合わせへの回答方法」 を説明しています。

サイバーセキュリティ デューデリジェンスについて取締役会と議論する方法の詳細は、こちらの動画をご覧 ください。

お問い合わせ

インシデント レスポンス サービスが必要な場合は、サイバー保険会社で Unit 42 をぜひご指名くだ さい。.

Log4j 脆弱性などの大規模攻撃の被害を受けているかもしれないと感じる場合は、 Unit 42 までお問い 合わせください。チームメンバーがご相談に応じます。 Unit 42 のインシデント レスポンス チームは 24 時間、週 7 日、365 日対応可能です。また、予防評価をお申込みいただき、予防的な対策を取り入 れることも可能です。