CSO Online Deutschland 編集マネージャー
EUのHVAC大手ヴァイアントグループのCISOであるラファエル・ライス氏が、自身の業界が直面しているサイバー上の課題、とりわけ複雑な規制環境の中でどのように事業を運営しているかを語る。
CSOドイツ:エネルギー分野は、サイバー犯罪者の標的となることがますます増えています。専門家や連邦情報セキュリティ庁(BSI)は、この分野の保護を大幅に強化する必要があると考えています。現在の状況をどのように評価していますか?
ライス: 現在私たちが目の当たりにしている地政学的緊張は、脅威レベルの高まりにつながっています。これは当然、ヴァイアントが事業を展開している暖房産業にも影響します。この産業は、家庭における暖房と給湯という、誰もが持つ基本的なニーズを満たしています。このような分野は、絶対により強固に保護されなければなりません。問題は、攻撃がますます標的型かつ複雑になっていることです。今日、私たちが相手にしているのは、もはや地下室で活動する経験の浅いスクリプトキディではなく、組織化され専門的なサイバー犯罪者です。彼らの目的は、企業や各国の経済に損害を与えることです。
さらに、企業内での人工知能の活用により、ビジネスやサプライチェーンに対する攻撃の参入障壁はかつてないほど低くなりました。これにより、例えば標的型フィッシングメールの作成や、以前ははるかに多くの労力を要したマルウェアの開発が容易になっています。
こうした状況の変化に、どのように対応していますか。現在、どのように自社をサイバー攻撃から守っているのでしょうか。
ライス: 私たちは情報セキュリティに対してホリスティック(全体的)なアプローチをとっています。つまり、あらゆる側面を上から下まで検証し、多層的なセキュリティコンセプトに依拠しています。これには、予防的な対策と事後的な対策の両方が含まれており、緊急時に迅速かつ効果的に対応できるようにしています。ただし、絶対的な安全を保証できる企業は存在しないことも認識しています。そのため、誰もが「攻撃が成功する可能性は常にある」という前提で計画を立てるべきです。
私たちは、自社の内部ITインフラのセキュリティだけでなく、世界中の生産拠点や、お客様向け製品のセキュリティも重視しています。エンドカスタマーの保護と高いセキュリティ基準の順守は、特にランサムウェア攻撃の脅威が高まる中で、最優先事項です。私たちの焦点は、リスクをプロアクティブに最小化し、ソリューションに対する長期的な信頼を確保することにあります。
従業員についてはどうでしょうか。
ライス: サイバーセキュリティは人から始まります。ヴァイアントのグローバルネットワークのおかげで、セキュリティに関してはここに明確な重点を置いています。私たちのホリスティックな4本柱アプローチを通じて、ゲーミフィケーション手法から実践的なコンプライアンス研修に至るまで、全従業員を対象とした包括的な意識向上トレーニングを実施しています。また、電気通信事業者や宅配サービスのフィッシング事例など、私生活に関わるテーマも取り上げ、関連性を高めることで、持続的な学習プロセスを促進しています。
現在、CISOにとって最も大きな問題となっている課題は何でしょうか。
ライス: まず第一に、ここ数年でCISOの役割は根本的に変化しました。以前は、主に技術的側面と運用上のセキュリティに焦点が当てられていました。現在では、戦略的な方向付けとリーダーシップスキルが重要な資質となっています。現代のCISOは、技術的リスクを管理するだけでなく、経営陣のスパーリングパートナーとして行動し、ビジネスリスクを評価し、情報セキュリティを企業戦略の不可欠な一部として組み込まなければなりません。
私の見解では、現在最大の課題は、NIS2、DORA、サイバーレジリエンス法といった新たな法的要件を実装することにあります。私はこれ全体を、まず理解しなければならない「規制のジャングル」と表現しています。私たちは、実務的に解釈し、適切なリソースで実行しなければならない複雑な規制環境の中で事業を行っています。最終的には、単にコンプライアンスを確保することだけでなく、企業全体のセキュリティレベルを引き上げ、より高いレジリエンスを生み出すことが目的です。
安全規則が多すぎるのでしょうか。
ライス: 暖房業界においては、NIS2などが関係しているとはいえ、規制要件はまだ管理可能な範囲です。私は一般的に、ドイツおよびヨーロッパにおける安全性を高める統一基準を歓迎します。課題は各国での国内実装にあります。各国が規制を異なる形で解釈するため、国際的に事業を展開する企業にとっては相当な複雑性が生じます。
NIS2の立法者たちは、ヨーロッパ全域で実装可能な、統一的かつ実務的なセキュリティルールの策定に失敗しました。NIS2はEUレベルで採択されましたが、各国の国内法に転換されなければなりません。これは、各国がそれぞれ独自の解釈を持ち込むことを意味します。ヨーロッパ全域で事業を行う組織は、そのため、自らが事業を展開する各地域の関連法令すべてを考慮しなければなりません。この文脈で標準化された手順を確保することは、さらなる複雑性を生み、大規模な調整を必要とします。
なぜこれほど多くの企業が、いまだに実装に苦労しているのでしょうか。
ライス: 多くの場合、規制の解釈に明確さが欠けています。多くの企業、特に中小企業は、自社がそもそも適用範囲に含まれるのかどうかさえ分かっていません。さらに、リソース配分に関する疑問もあります。実装は社内で行うべきなのか、それとも外部パートナーと行うべきなのか。責任を負うのは誰なのか――IT部門なのか、コンプライアンス部門なのか、それとも専任のセキュリティチームなのか。加えて、サイバーセキュリティをどこに、どのように戦略的に組み込むべきかについての成熟度や認識が欠けていることも多く、そのためにこうしたテーマを適切に実行できていません。これらの要因が進捗を妨げ、企業にとって貴重な時間の損失につながっています。
規制に対して万能のアプローチは存在しません。私は企業に対し、自社の現状を分析し、最初のステップを定義し、とにかく始めることを勧めます。私のモットーは「待たずに始めよ!」です。
こちらも参照:
ジュリア・ムッツバウアーはCSO Online Deutschlandの編集マネージャーであり、サイバーセキュリティ分野を専門としている。
翻訳元: https://www.csoonline.com/article/4101952/vaillant-ciso-start-instead-of-waiting.html
