法規制準拠: 取締役会からCISOへの主な質問
この記事は、CISO 向けの予防的なコミュニケーション戦略に関するガイダンスを提供する四部 構成シリーズの第四回です。ここには、主要な情報が経営陣に通じる言葉で説明されています。 これにより、インシデント、イベント、脅威に等しく対応し、組織での重要な作業に集中でき ます。
ここまで、サイバー リスクの影響、サイバー リスク軽減計画、インシデント発生時のデューデリジェンスに 関して経営陣に説明する方法について述べてきました。回答を準備する必要がある質問の次の論理セットは、 サイバーセキュリティの規制コンプライアンスに関するものです。
ご存知のように、私たちのビジネスは、業界および政府による多くの規制によって手引きされています。イ ンシデント発生時 ( または脅威が疑われるとき ) には、データおよび運用のセキュリティと整合性に対して想 定される影響に関して、多様なエンティティから大量の質問が発せられます。したがって、これらの質問に 効果的に回答するための準備が必要です。では、「規制やその他のコンプライアンスに関する問い合わせに対 する返答は?」という問いへの回答に役立つ方法を確認しましょう。
この質問から、以下の項目について検討すべきことがわかります。
- 露出の可能性があるシステムが、規制対象のデータを処理、保存、または送信していますか ?
- その場合、誰に通知する必要があるでしょうか ? もう通知しましたか ?
- 注意点はどのような内容ですか ?
- 修復活動はどのような方法で追跡しますか ?
サイバーセキュリティの規制コンプライアンス : 何をいつ知らせるのか ?
脆弱性が検出された瞬間から、規制当局は、攻撃対象領域を評価し軽減する方法を求めてきます。当局は皆 さんの資産インベントリの詳細を把握し、そこには、環境内の脆弱性の存在場所を突き止めることができる のか、どのような通信が行われたのか、侵害されたインスタンスが存在する可能性があるのか、ある場合は、 適切な規制機関にタイムリーに通知され、どのような軽減策や修復が施され、教訓が得られたか、などの事 柄が含まれます。
脆弱性が検出された瞬間から、規制当局は、攻撃対象領域を評価し軽減する方法を求めてきます。当局は皆 さんの資産インベントリの詳細を把握し、そこには、環境内の脆弱性の存在場所を突き止めることができる のか、どのような通信が行われたのか、侵害されたインスタンスが存在する可能性があるのか、ある場合は、 適切な規制機関にタイムリーに通知され、どのような軽減策や修復が施され、教訓が得られたか、などの事 柄が含まれます。
これにより、( 企業のブランドや評判に対するような ) さらなる損害の可能性を最小化することができます。 自社の組織 ( および顧客 ) に影響するエクスプロイトが発生した場合に、その対処方法 ( 取り組み、対応し、 教訓を得た方法 ) を示すことができれば、これを隠そうとするよりも有利な状況を得ることができます。
サイバー インシデントについての伝達 : 誰に通知すべきかを知る
一部の規制には、侵害発生時に、規制対象のエンティティが顧客および指定されたサードパーティに通知す る必要があるタイミングを定めた条項が存在します。場合によっては、サードパーティとの契約に通知の条 項が含まれることもあります。暴露 ( 流出 ) のインスタンスをサードパーティが皆さんに通知する、または皆 さんがサードパーティに通知する必要があるというものです。ただし、皆さんは危機トリアージ チーム、イ ンシデント レスポンス ベンダー、および外部の弁護士にも通知して、彼らが行動を起こせるようにする必要 もあります。
インシデント レスポンス リテーナーを を得ることは、ほぼ標準的なプラクティスになっています。このことに よって、規制対象のデータをインシデント後の暴露から保護するために合理的な手順を踏んでいることを明 示できるからです。エクスプロイトまたは侵害の疑いがある場合には、外部の弁護士への通知に加えて、フォ レンジックおよびインシデント レスポンス会社による適切なリテーナー ( エキスパート支援 ) を得ることを お勧めします。
内部と外部のすべての構成員に対して、すべての通信プロトコルが堅牢であることを確認するのは非常に重 要です。規制当局は、対象者がインシデントを即座に修復または軽減するのを期待するわけではありません。 彼らが期待するのは、皆さんがデューデリジェンスを前もって実行しており、完全に準備不足ではなかった ということです。攻撃とその影響をタイムリーに検出できたことと、すべての適切な関係者と協力して伝達 と修復を行ったことが知りたいのです。
インシデント レスポンスの成功 : 揺るぎない関係がすべて
インシデント処理の真っ只中にいると、外部の弁護士やインシデント レスポンス ベンダーとの既存の関係に 安心を見いだします。すぐに連絡を取り、こうした関係を構築し始めましょう。彼らのトリアージ プロセス を理解し、携帯電話番号を入手しましょう。これは先を見越してやっておくことです。インシデント処理の 最中、最悪と言える労働時間を過ごしているときには、こうした強力な関係がライフラインになるからです。
インシデント レスポンス ベンダーと インシデント レスポンス計画 を共有し、彼らの考えを理解することを 検討してください。彼らを迎え入れておけば、これらの専門家がやってきて完全な調査を実施したときに、 彼らのやっていることを理解し、発生した内容を彼らが判別できていることに多少の確信を持つことができ ます。
を共有し、彼らの考えを理解することを 検討してください。彼らを迎え入れておけば、これらの専門家がやってきて完全な調査を実施したときに、 彼らのやっていることを理解し、発生した内容を彼らが判別できていることに多少の確信を持つことができ ます。
さらに、規制当局との関係の構築についても検討してみましょう。場合によっては、規制当局の方が脅威環 境についての理解が進んでおり、これから起きることへの準備の手助けとなる可能性もあります。データが 盗まれていなければ規制当局は興味を抱かないなどと、決め付けないでください。彼らは新しい脅威とエク スプロイトを絶え間なく警戒しています。データが組織外に持ち出された証拠がない場合でも、データへの 潜在的なアクセスによって組織内に配置された攻撃者に対する対応内容について、当局はおそらく興味を抱 きます。
これにより、皆さんが脅威に対処した方法を示す機会も提供されます ( たとえば、「これはそのイベントから 採取しました。我々は、キルチェーン全体を後方、および前方に作業し、発生する可能性のあった内容と、 実際に発生した内容を理解しました」と述べるようなことです )。これが皆さんのプロセスやプログラムの堅 牢さについて規制当局が深く理解するために役立ち、今後のやり取りを円滑にします。
サイバーセキュリティの規制コンプライアンスについて取締役会と議論する方法の詳細は、こちらの動画を ご覧ください。
お問い合わせ
インシデント レスポンス サービスが必要な場合は、サイバー保険会社で Unit 42® をぜひご指名くだ さい。.
Log4j 脆弱性などの大規模攻撃の被害を受けているかもしれないと感じる場合は、 Unit 42 までお問い 合わせください。チームメンバーがご相談に応じます。 Unit 42 のインシデント レスポンス チームは 24 時間、週 7 日、365 日対応可能です。また、予防評価をお申込みいただき、予防的な対策を取り入 れることも可能です。