ほとんどの CISO の セキュリティ リスク管理戦略に 欠けている点
サイバーセキュリティの根底では、リスクとその最小化方法を理解する必要があります。個 人と組織は自分が何を守ろうとしているかの観点でリスクを捉えがちです。IT 分野でリスク について語る場合、その主題はデータであり、データ プライバシー、データ漏えい、データ 損失といった用語を伴います。とはいえ、サイバーセキュリティ リスクは単なるデータ保護 の問題ではありません。セキュリティ リスク管理戦略では何を考慮すべきなのでしょうか。
データを保護して既知の脆弱性を防ぐことは優れたサイバーセキュリティ戦術ですが、これ らは CISO が検討して実行すべき活動の一部にすぎません。リスク管理に対する包括的なアプ ローチと、データ以外も考慮した戦略が見落とされがちなのです。
現代の IT 企業は確かにデータを消費・生成していますが、それだけではなく、IoT デバイスなどのデバイス を大量に保有しています。こうしたデバイスには、中央の IT 運用部門による直接の監視や管理が及ばないこ とが少なくありません。データ損失はリスクですが、とりわけ IoT デバイスと OT デバイスは社会全体で重 要な役割を果たし続けているため、サービスの中断もまたリスクとなります。たとえば医療活動では医療機 器の停止が生死を分ける結果につながりかねません。
セキュリティ リスク管理の課題
攻撃が絶えず変化するため、デバイス設定はしばしば流動的になりえます。IT そのものが絶えず変化するの と同じく、リスク管理も静的な活動ではないと明確化することが重要です。
それどころか、リスク管理は非常に動的な活動であるため、一過性の活動だと捉えていると失敗を招きます。 リスクを評価する際には、IT と IoT の環境を多面的に捉える必要があります。リスク管理の対象としなければならないユーザー、アプリケーション、導入場所、利用パターンは多様で頻繁に変化する可能性があり、また実際に変化します。
セキュリティ リスク管理の課題は数多く存在しますが、とりわけ問題となるのが IT 資産と IoT 資産の量と 複雑さです。現代の CISO は増え続けるデバイスに由来するデータと 情報に簡単に圧倒される 可能性があります。量だけでなくデバイスの種類も多種多様であり、それぞれが固有の攻撃対象領域を持ちます。IT 資産と IoT 資産に加えて、各デバイスが引き起こしかねない特有のリスクをすべて認識し、的確にドキュメント化することは人間には困難です。リスク最小化アプローチを採用しながら分散型企業全体で多種多様なポリシー、デバイス、アクセス制御を管理する複雑さは容易な仕事ではありません。
より良いセキュリティ リスク管理戦略
セキュリティ リスク管理は単一の仕事でも単一のツールでもありません。セキュリティリスク管理は戦略であり、CISO によるギャップの解消と成功に向けた基盤の適切な構築に役立つ重要な要素をいくつか伴います。
可視性の確立。ギャップを解消するには、まず保有する資産を把握する必要があります。IT 資産と IoT 資産の管理では、管理対象デバイスの把握に留まらず、管理対象外の IoT デバイスに加えて、利用されている OS とアプリケーションのバージョンを絶えず把握します。
継続的な監視を確実に実施する。 リスクは静的な概念ではないため、監視方法も静的であってはなりません。 リスク管理では、あらゆる変化を継続的に監視 することが不可欠です。たとえば、誰がネットワークにアク セスしているか、デバイスがどこに接続しているか、アプリケーションがどのような活動を行っているかなどを監視します。
ネットワーク セグメンテーションの重視。多くの場合、脅威の影響範囲を狭めることで、セキュリティ インシデントが発生したとしてもリスクを削減可能です。ネットワーク上の特定のセグメントだけでさまざまなサービスとデバイスを動作させるネットワーク セグメンテーションを利用することで、攻撃対象領域を最小化できます。また、 把握していない管理対象外の IoT デバイス を踏み台とした、ネットワークの他の領域への攻撃も防げます。これにより、1 つのシステムへの攻撃が組織全体に影響することを回避し、攻撃を受けたネットワーク セグメントだけに被害を抑え込めます。
脅威防御を優先。エンドポイント保護やネットワーク保護などの脅威防御テクノロジも、効果的なセキュリティ リスク管理戦略の基本要素です。同時に、IoT デバイスなどのエンドポイントとネットワーク保護テクノロジに適切なポリシー設定と最小権限アクセスを導入し、起こりうる攻撃の発生を防ぐことが脅威防御では重要です。
機械学習と自動化を活用すれば、これらの戦略的な要素を最適な形で大規模に実行できます。データ、ネットワーク トラフィック、デバイスが増え続けており、個人はもちろんグループでも対応は不可能です。機械学習ベースの自動化を活用すれば、IT/IoT/OT/BYOD デバイスを漏れなく迅速に識別できます。これにより、可視性を改善し、継続的な監視の下で活動を関連付け、最小権限アクセスに向けた適切なポリシーや最適なネットワーク セグメンテーション構成を提案し、予防的な脅威防御によるセキュリティ レイヤーを追加できます。