あなたの組織のサイバーセキュリティフレームワークは、新世代の高度な攻撃者に耐えられるでしょうか?もしそうでなければ、サイバーリスクへのアプローチを再考し、再設計する時です。
サイバーセキュリティフレームワークは、企業がサイバー攻撃から守るためのガイドラインです。一般的なフレームワークは、さまざまなサイバーセキュリティリスクに対処するために必要なステップ、潜在的な脆弱性の検出、そして企業のデジタル防御力の向上について記述しています。攻撃対象領域にギャップが発見された場合は、直ちに再構築と強化の措置を講じ、サイバー・レジリエンスを高める必要があります。
Keri Pearlson氏(MITスローン経営大学院 上級講師・主任研究員)は、既存のサイバーセキュリティフレームワークに注意が必要な兆候が多くあると述べています。「もしサイバーセキュリティフレームワークを過去2か月以内に見直していなかったり、動的な更新をしていなかったり、チームがサイバーセキュリティにAIを取り入れていない場合は、フレームワークを見直し、場合によっては再構築する必要があります」と彼女は言います。
時代遅れのセキュリティフレームワークに頼ることで、企業のセキュリティを危険にさらしていませんか?ここでは、大幅な見直しが必要な兆候を紹介します。
1. 変化を認識するための動的なプロセスがない
Pearlson氏によれば、最大の失敗は、現在の計画が時代遅れである、または単に機能していないことを認識しないことです。侵害は発生しますが、それが必ずしもフレームワークの再構築を意味するわけではありません。しかし、フレームワークの再考と再設計が必要であることは示しています。
Pearlson氏は、サイバー・レジリエントな組織を構築するには、異なる視点で考えることが必要だと述べています。最善のアプローチは、環境の変化を監視し、再構築プロセスを開始する動的なプロセスを導入することだと彼女は提案します。
「重要なのは、適切なセンシングと対応の仕組みを持つことです。これはテクノロジーと人間の活動の組み合わせになるでしょう」と彼女は言います。テクノロジーは変化を感知し異常を特定し、人はその変化が注意や投資を要するリスクかどうかを評価できます。
2. 規模を問わずサイバー攻撃が成功した
サイバーセキュリティフレームワークの弱点を最も明確に示すのは侵害だと、Steven Bucher氏(Mastercard CSO)は言います。「私は、たとえ小さなインシデントでも、時代遅れのプロトコルや従業員教育のギャップが明らかになるのを実際に見てきました」と彼は述べます。「フレームワークが進化する脅威やビジネスニーズに追いついていないなら、再構築の時です。」
サイバー脅威は常に進化しているため、定期的な見直しとサイバーセキュリティ意識の醸成に積極的に取り組むことで、問題が危機になる前に発見できるとBucher氏は言います。「最終的に、フレームワークを堅牢かつ最新に保つことが、組織を守り信頼を維持する最善の方法です。」
3. 継続的な監視が困難になっている
フレームワークが継続的な監視やプロアクティブなリスク管理を提供できない場合は、NISTサイバーセキュリティフレームワークなどの確立された基準に合わせて再構築し、必要に応じて業界固有のコンプライアンス要件を統合する時だと、Dave Floyd氏(Hughes Network Systems サイバーセキュリティ営業・サービス担当副社長)は述べています。
Floyd氏は、サイバーセキュリティフレームワークを再構築する最善の方法は、まずNISTフレームワークから始め、そこに業界固有のコンプライアンス要件を重ねることだとアドバイスしています。このアプローチにより、医療、金融、その他の企業におけるベストプラクティスと規制上の義務が十分に対応されます。
4. 正式なフレームワーク見直しプロセスが数年単位で行われている
過去3年以上フレームワークに実質的な変更がなかった場合、それはフレームワークが時代遅れである強い兆候だと、Sandra McLeod氏(Zoom CISO)は言います。「サイバーセキュリティの状況は急速に進化しており、特に生成AIの台頭により、フレームワークもこれらの変化を反映すべきです。」
McLeod氏は、2年ごとのフレームワークの完全な見直しと、その間の年には簡易的な見直しを組み合わせることを推奨しています。「これにより、フレームワークが進化する脅威、ビジネスの変化、規制要件に合わせて維持されることを確実にします。」
理想的には、セキュリティリーダーは常にセキュリティフレームワークを念頭に置き、改善、効率化、明確化できる分野の大まかなリストを持っているべきだとMcLeod氏は提案します。「こうした非公式な見解は、簡易的な見直しの際に議論に持ち込むことで、継続的な改善を常に意識できます。」
5. 予測的評価を行わず、アラート対応に追われている
組織が常に受け身の状態で、積極的な姿勢を取れていない場合は、フレームワークの再評価が必要だと、Nima Baiati氏(Lenovo 商用ソフトウェアおよびセキュリティソリューション担当エグゼクティブディレクター兼ゼネラルマネージャー)は述べています。
組織がアラートやインシデントへの対応に追われ、予測的な脅威評価やデータ分析、将来計画を行わず、事後報告ばかりしている場合は、変革の時だとBaiati氏は助言します。「もちろん、受動的な状況が全くなくなるわけではありませんが、それが日々の業務の大半を占めているなら、より重大なインシデントが発生するのは時間の問題でしょう。」
Baiati氏は、組織のリスク許容度と全体的なビジネス戦略をしっかり理解することから始めるべきだと提案します。「正しくセキュリティを実施すれば、業務の中断を最小限に抑え、信頼を最適化できるため、競争優位性につながります」と彼は述べます。例えば、金融機関はリスク許容度が低く、データの完全性と評判を守る必要があります。彼らのビジネス戦略とセキュリティは本質的に結びついています。
また、チームメンバーがこれまで以上にモバイル化しているため、エンドポイントセキュリティはネットワークセキュリティの焦点となり、サイバーセキュリティフレームワークに含める必要があります。「強固なエンドポイントセキュリティを構築するには、ファームウェア、ハードウェア、ソフトウェア、サプライチェーンなど、デジタル環境のあらゆる側面を保護する包括的かつ多層的なアプローチが必要です」とBaiati氏は言います。「オンデバイスとクラウドベースのAIアプリケーションの両方を評価し、効果的かつリアルタイムな脅威検知と対応を確保してください。」
6. KRIやKPIが悪化傾向にある
主要リスク指標(KRI)や主要業績指標(KPI)が予想外の方向に向かっていると感じた場合、フレームワークの再評価が必要かもしれないと、Sameer Ansari氏(監査・リスク・コンプライアンスコンサルティング会社Protiviti データプライバシーチームリーダー)は述べています。
サイバーセキュリティフレームワークをコンプライアンスのチェックリストとして捉え、適切なリスク判断のためのツールとして活用しない組織は危険を招くとAnsari氏は警告します。「組織は、主要なビジネス目標や直面しうるリスクを考慮し、その観点からフレームワークを適用すべきです。」
フレームワークの構築や更新時、多くのサイバーセキュリティリーダーは他社とのベンチマークや比較にとらわれ、自組織にとって重要なことに集中できていないとAnsari氏は言います。さらに悪いのは、量が質より重要だと考えることです。「複数の異なるフレームワークを組み合わせて、管理や維持が非常に困難な『フランケンシュタイン・フレームワーク』を作ってしまうサイバーセキュリティ責任者もいます」と彼は警告します。
7. コンプライアンス重視のアプローチを取っている
多くのサイバーセキュリティリーダーが犯す一般的なミスは、「監査に合格する」ことを主目的としたフレームワークを設計してしまうことだと、Daniel Tobok氏(インシデント対応企業CYPFER CEO)は述べています。彼は、コンプライアンスだけに焦点を当てると、非IT関係者からの重要な意見が排除され、実際には意味のある保護を提供できない、見た目だけのフレームワークになりがちだと警告します。
理想的には、サイバーセキュリティフレームワークは継続的に進化し、最もリスクが高い領域を優先すべきだとTobok氏は助言します。「しかし、既存のフレームワークがもはや組織を効果的に守れなくなった場合や、段階的な修正のコストがメリットを上回る場合は、全面的な再構築が必要です。」
また、ビジネスモデルの変更、規制環境の改正、脅威領域の拡大など、企業に大きな変化があった直後も、既存のフレームワークが時代遅れまたは不十分になるため、即座に再構築が求められると彼は付け加えます。
翻訳元: https://www.csoonline.com/article/4094743/7-signs-your-cybersecurity-framework-needs-rebuilding.html
