出典:Brain_light via Alamy Stock Photo
一見すると、最高情報セキュリティ責任者(CISO)と最高執行責任者(COO)は、根本的に異なる世界で活動しているように見えます ― 場合によっては互いに対立しているようにさえ思えるかもしれません。CISOは脅威ベクター、脆弱性、侵入に心を砕き、COOはマージン、稼働時間、効率性にこだわります。
しかし、デジタル変革を遂げた企業においては、CISOとCOOが強く意図的なパートナーシップを構築することが求められます。それは、セキュリティリーダーが突然、取引あたりのコストやサプライチェーンのプロセス最適化を気にし始めたからではありません。サイバー攻撃によるダウンタイムが、あらゆるCOOが積極的に管理すべき「事業存続に関わるオペレーショナルリスク」となったからです。現代のオペレーションは完全にデジタル化されており、オペレーショナル・エクセレンスはサイバーセキュリティのレジリエンスと切り離せない関係にあります。
「CISOは、COOとの関係をCEOやCFOとの関係と同じ最上位レベルの関係として扱うべきです。なぜなら、オペレーションの中断は、しばしばビジネスにとって最も現実的で大きなリスクだからです」と、運輸企業CarrixのセキュリティディレクターであるDavid Elfering氏は述べています。
このパートナーシップがオペレーションにとって重要な理由
サイバーレジリエンスとは、サイバー脅威に対して、インシデントのライフサイクル全体を通じて事業運営を維持しながら、備え、対応し、復旧する組織の能力を指します。これは単に攻撃後の復旧だけを意味するのではなく、たとえ攻撃を受けている最中であっても継続的に機能し続ける能力を意味します。
重大なセキュリティインシデントに伴うプロセスの中断、従業員の生産性低下、サプライチェーンの遅延、カスタマーサービスの失敗といった事態は、現代のCOOにとって大きな懸念事項です。ランサムウェアが生産環境をロックダウンしたとき、CISOの封じ込めプロトコルは組織を守るかもしれませんが、その一方でCOOは収益が蒸発していくのを見守ることになります。
「オペレーションに混乱が生じたとき、COOとCISOのどちらも、単独ではそうした状況をうまく乗り切ることはできません」と、General Bank of Canadaの最高リスク・コンプライアンス・セキュリティ責任者であるAdam Ennamli氏は言います。
COOにとって、デジタルオペレーションへのシフトはリスクの性質を劇的に変化させました。従来のオペレーショナルリスク管理 ― サプライチェーンの混乱の軽減、プロセスフローの最適化、設備の信頼性管理 ― は、社内システムが常に利用可能で機能していることを前提としていました。
しかし今日では、ビジネスプロセスの脆弱性を悪用するランサムウェア攻撃は、多くの物理的な設備障害よりも効果的にオペレーションを停止させることができます。組織は今や、コストやスピードだけでなく、高度なデジタル脅威にさらされながらもオペレーションを維持できる能力でも競争しています。だからこそCOOは、サイバーセキュリティへの投資が、彼らのパフォーマンスが本質的に評価される指標である「オペレーション継続性」を直接的に守るものであると、ますます認識するようになっているのです。
危機が起きる前に関係を構築する
組織が犯しうる最も重大な誤りの一つは、破壊的なインシデントが両者を無理やり引き合わせるその時まで、CISOとCOOの関係を十分に育てないままにしておくことです。プレッシャーのかかる緊急対応の場では、必然的に質の低い意思決定、コミュニケーション不足、復旧の優先順位の不一致が生じます。セキュリティインシデントに関する午前3時の緊急電話も、CISOとCOOが数カ月をかけて相互理解と信頼、そして共同の意思決定フレームワークを築いてきていれば、はるかに対処しやすくなります。
このようなプロアクティブな関与には、両リーダーがオペレーション上の依存関係、重要なビジネスプロセス、そしてセキュリティコントロールがそれらのプロセスをどのように支援または制約しているかについて、継続的に足並みをそろえるための定期的な接点を設けることが必要です。COOは、CISOがどのシステムを最重要保護対象と考えているのか、そしてその理由を理解する必要があります。CISOは、どのビジネスプロセスが、中断された場合に(セキュリティの観点ではなく)事業継続の観点から最も高いオペレーショナルリスクを生むのかを把握する必要があります。
こうした対話は、いざというときに不可欠となる前に、信頼性を築きます。COOが6カ月にわたってCISOのオペレーショナルレジリエンスに関する見解に耳を傾けていれば、危機時におけるCISOの提言には重みが生まれます。この関係における対話は、「セキュリティチームが今になってオペレーションに指図している」のではなく、「私たちは一緒にこの事態に備えてきた」というものになります。
Elfering氏は、このような継続的なコミュニケーションが、しばしば組織を悩ませる典型的な「セキュリティ対オペレーション」の摩擦を解消するのに役立つと説明します。例えば、「今はパッチを当てられない、ダウンタイムが発生するかもしれない」という理由で、オペレーションチームとセキュリティチームが膠着状態に陥るケースです。
「私は、オペレーションと共同で計画を立て、長期的に蓄積するリスクを減らすためのメンテナンスウィンドウをスケジュールすることを推奨します。そうしたリスクは、より大きく予期せぬ停止を引き起こす可能性があります」とElfering氏は言います。
共同の危機対応オペレーション計画には、オペレーションの具体性が必要
多くの組織が策定している危機管理計画は、オペレーションの現実については往々にして曖昧です。誰が規制当局や顧客とコミュニケーションを取るかは明記されている一方で、COOが必要とするオペレーションの詳細度 ― どのようにして生産システムを維持するのか、どのバックアップを有効化する必要があるのか、顧客トラフィックを具体的にどう処理するのか、収益への影響がどのようなタイムラインで現れるのか ― が欠けているのです。
CISOとCOOが共同で策定するインシデントレスポンス計画には、さまざまな攻撃シナリオとそのオペレーション上の結果を織り込んだ、オペレーションの意思決定ツリーを含めなければなりません。ランサムウェアが顧客取引システムを標的とした場合、その計画には、どのシステムにフェイルオーバー機能があるのか、その有効化にどれだけ時間がかかるのか、フェイルオーバー中にどの程度のキャパシティロスが発生するのか、そして取引遅延の可能性について顧客コミュニケーションをオペレーション側がどのように管理するのかを、具体的に明記すべきです。サプライチェーンシステムが侵害された場合には、どのサプライヤーに代替チャネルで連絡できるのか、在庫をどのように管理するのか、そして復旧のタイムラインはどうなるのかを特定しておく必要があります。
また、この計画では、インシデントレスポンス中のオペレーション上の意思決定に関する明確な権限者も定めなければなりません。CISOの封じ込め戦略は、COOが重要とみなすシステムのシャットダウンを必要とするのでしょうか?
「そのトレードオフの判断を最終的に下す権限は誰にあるのか?」とElfering氏は問いかけます。「こうした問いに、平時の計画段階で答えを出しておくことで、最も危機的な局面での危険な遅延や対立を防ぐことができます。」
Ennamli氏はさらに、CISOはCOOと協力して、オペレーション、広報、法務、経営陣を巻き込んだ危機時のコミュニケーション/意思決定プレイブックを構築・テストし、役割と期待値を事前に割り当てるべきだと付け加えます。「明確な部門横断型プレイブックを持つ組織は、より迅速に動き、オペレーションと評判へのダメージを最小限に抑えることができます」とEnnamli氏は述べています。
定期的なテーブルトップ演習には、現実的な攻撃シナリオの中で自らの役割を実践するCISOチームとCOOチームの双方が参加しなければなりません。これらのシミュレーションでは、単なる技術的なインシデントレスポンス手順だけでなく、オペレーションの復旧に関する意思決定をストレステストする必要があります。
演習では、複雑な問いに答えなければなりません。マルウェアの拡散を防ぐためにシステムをシャットダウンした場合、オペレーションはどれくらいの期間、収益への影響に耐えられるのか?許容可能なダウンタイムの閾値はどこか?脅威の封じ込めとオペレーション維持のどちらを優先するかといった、難しい判断はどのように行われるのか?
CISOとCOOのパートナーシップは、サイバーセキュリティとオペレーショナル・エクセレンスが同義となったという根本的な認識を表しています。平時から危機対応計画を整備し、サイバーリスクをオペレーション上の結果に翻訳し、セキュリティ投資を稼働時間とレジリエンスの成果に結びつけるなど、両リーダーの間にプロアクティブで整合した関係を築いた組織は、高度な攻撃を受けている最中であっても、効果的にオペレーションを維持できるでしょう。一方で、この関係を後回しにし、災害が発生したときにだけ連携を図ろうとする組織は、最も余裕のないタイミングで、連鎖的なオペレーション障害に直面する可能性があります。
