Infosecurity Europe：サイバー脅威を国家戦略として捉えよ、ISACAエキスパートが経営幹部に警鐘

サイバー、AI、地政学的リスクはもはや切り離せない――ISACAロンドン支部ボードディレクターのBharat Thakrar氏はそう語ります。

同氏はさらに、2022年のウクライナにおけるViasatへの攻撃や、2026年のStrykerへの攻撃がこの傾向をさらに裏付けていると強調しました。

また、北朝鮮を主な発生源とする外国人ITワーカーの潜入工作が増加しており、組織内部へのアクセスを生み出しかねないとも警告しました。

「何社がこの事実に気づくことができるでしょうか？」と問いかけた同氏は、人事審査の刷新、アクセス制御の強化、そして経営幹部チームが即断即決できるよう事前委任権限を設けることを訴えました。

ISACAの地政学的備えと対応フレームワーク

Thakrar氏はその洞察を実践に結びつけるため、「サイバー地政学的備えと対応（CGPR）」と名付けた実践的な4段階フレームワークを提案しました。

取締役会やセキュリティチームが地政学的リスクを実務として取り扱えるよう設計されたCGPRは、4つの柱で構成されています。

• リスクエクスポージャーの評価：事業拠点、重要資産、ベンダー依存関係、そして標的になり得る要因をマッピングする
• 対応準備の評価：業務移転、データの移動、セキュリティオペレーションセンター（SOC）の規模拡大、パッチ適用・復旧の加速をどれだけ迅速に実行できるかをテストする
• 対応計画の策定：プレイブック、権限系統、法務・財務・人事・オペレーションを含むウォールームの構成を定義する
• 継続的モニタリング：脅威インテリジェンス、ダークウェブの動向、ソーシャルメディアを横断的にスキャンし、早期シグナルを検知してコントロールを改善する

DEFCON 1・2レベルの「警戒態勢」への備え

実務面では、Thakrar氏は明確なクライシストリガーと「警戒態勢」の基準を設けることを推奨しました。これにより、組織は通常業務からDEFCON 1・2レベルに相当する企業版シナリオへの移行タイミングを把握できます。

警戒レベルが上がると優先事項が変わり、重要パッチの早急な適用、セキュリティ以外の変更の凍結、SOC運用の拡充、アイデンティティ制御の強化、そして短期的なサービストレードオフへの備えが求められます。

「戦時態勢への移行に備えよ」と同氏は率直に語りました。

定期的な地政学的ストレステストの実施

Thakrar氏はまた、短時間のランサムウェア演習を繰り返すのではなく、長期にわたる国家レベルの攻撃を想定した地政学的ストレステスト（卓上演習）を実施するよう組織に強く促しました。

「今四半期中に地政学的ストレステストから始めてください」と聴衆に呼びかけました。「リスクエクスポージャーと対応閾値をマッピングした1ページの取締役会向けブリーフィングを準備し、人事・ベンダー管理を今すぐ見直してください」