サイバーセキュリティ・フレームワークを見直すべき7つの兆候

Summit Art Creations – shutterstock.com

サイバーセキュリティ・フレームワークは、企業がサイバー攻撃から身を守るための指針です。一般的なフレームワークでは、次のために必要な手順が示されます。

• さまざまなサイバーセキュリティ・リスクに対処する
• 潜在的な脆弱性を明らかにする
• 企業のデジタル防御を全般的に強化する

発見されたセキュリティ上の欠陥はどれも、サイバー・レジリエンスを回復し強化するために、直ちに対策を講じる必要があることを示しています。

MITスローン経営大学院の講師で主任研究員でもあるKeri Pearlson氏は、既存のサイバーセキュリティ・フレームワークを見直す必要があることを示す兆候は数多くあると説明します。「過去2か月間にサイバーセキュリティ・フレームワークを見直していない、動的に更新していない、あるいはチームがまだAIをサイバーセキュリティ戦略に組み込んでいないのであれば、フレームワークを点検し、必要に応じて作り直すべきです」

ここでは、緊急に必要な見直しの時期が来ている可能性を示す警告サインを紹介します。

1. 変化を検知するための動的なプロセス

Pearlson氏によれば、最大の過ちは、現行の計画が時代遅れになっている、あるいは単純に機能していないことに気づかないことです。セキュリティ・インシデントは起こり得ますが、だからといって必ずしもサイバーセキュリティ戦略を全面的に作り直す必要があるとは限りません。ただし、それは戦略を再考し、再設計する必要があることを示しています。

サイバー・レジリエントな組織を構築するには発想の転換が必要だと、Pearlson氏は説明します。最良のアプローチは、環境の変化を検知して適応プロセスを開始する動的なプロセスを実装することだと同氏は考えています。

「鍵となるのは、適切な検知と対応のメカニズムを持つことです。おそらくテクノロジーと人の活動の組み合わせになるでしょう」と同氏は述べます。さらに研究者として、テクノロジーは変化を検知し異常を特定でき、人はその変化が注意と投資を要するリスクかどうかを判断できると付け加えています。

2. 規模の大小を問わず、サイバー攻撃が成功してしまった

サイバーセキュリティ・フレームワークの弱点を、セキュリティ・インシデントほど明確に示すものはないと、MastercardのCSOであるSteven Bucher氏は説明します。「小さなインシデントであっても、古いプロトコルや従業員教育の抜け穴が露呈することを私は実際に見てきました」と同氏は語ります。「セキュリティの考え方が、変化する脅威や変わりゆく事業要件に追随できていないなら、見直しの時です」

サイバー脅威は常に進化しているため、Bucher氏によれば、先手を打って定期的なレビューを行い、サイバーセキュリティ意識の文化を育むことが有効です。そうすることで、問題が危機に発展する前に発見できます。「最終的に、堅牢で最新のセキュリティの考え方こそが、企業を守り、信頼を維持する最善の方法です」

3. 継続的な監視が課題になっている

フレームワークが継続的な監視を担保できない、またはプロアクティブなリスク管理を支えられない場合は、NISTサイバーセキュリティ・フレームワークのような確立された標準に整合させる時です。Hughes Network SystemsでCybersecurity Sales and ServiceのVice Presidentを務めるDave Floyd氏は、必要に応じて業界固有のコンプライアンス要件の統合も再構築すべきだと説明します。

Floyd氏は、サイバーセキュリティ・フレームワークを再構築する際にはNISTフレームワークから始め、そこに業界固有のコンプライアンス要件を追加することを推奨します。こうしたアプローチにより、医療、金融、その他の業界におけるベストプラクティスと規制上の義務が包括的に考慮されるといいます。

4. 正式なフレームワーク・レビューが数年に一度しか行われない

過去3年以上にわたりフレームワークに重要な変更がない場合、それは時代遅れである可能性を示す強い兆候だと、ZoomのCISOであるSandra McLeod氏は説明します。「サイバーセキュリティの状況は、特に生成AIの台頭によって急速に進化しました。フレームワークはこうした変化を反映すべきです」

そのためMcLeod氏は、2年ごとの全面レビューに加え、その間の年には簡易チェックを行うことを推奨します。「これにより、フレームワークが変化する脅威、事業の変化、規制要件に追随できるようになります」

理想的には、セキュリティ責任者は常にフレームワークを注視すべきです。また、最適化、簡素化、または明確化できる領域のリストを管理しておくべきだと、同CISOは付け加えます。「こうした非公式な気づきは、簡易レビュー時の議論に反映させ、継続的改善を常に意識できるようにすべきです」

5. 先を見越して計画するのではなく、警告対応に追われ続けている

企業がプロアクティブではなく常にリアクティブな状態にあるなら、LenovoでCommercial Software and Security SolutionsのExecutive Director兼General Managerを務めるNima Baiati氏によれば、進め方を見直す時です。

脅威を予測し、データを分析し、戦略的に計画するのではなく、警告やインシデントの処理に追われ、事後的に出来事を報告するというサイクルに陥っていませんか。そうであれば、変化の時だと同氏は助言します。

「もちろんリアクティブな状況は今後も起こります。しかし、それが日々の業務能力の大半を占めているなら、より深刻なインシデントが発生するのは時間の問題でしょう」

Baiati氏はまず、自社のリスク許容度と全体的な事業戦略を深く理解することを推奨します。「適切に実装されたセキュリティは、業務停止を最小化し信頼を強化することで競争優位になり得ます」と同氏は説明します。例えば金融機関はリスク許容度が低く、データの完全性と評判を必ず守らなければなりません。事業戦略とセキュリティは密接に結び付いているのです。

近年、従業員はこれまで以上にモバイル化しているため、エンドポイント・セキュリティはネットワーク・セキュリティの中でより重要になっており、サイバーセキュリティ構想に統合する必要があります。「強固なエンドポイント・セキュリティを確保するには、企業はデジタル環境のあらゆる側面――ファームウェア、ハードウェア、ソフトウェア、そしてサプライチェーン――を保護する包括的で多層的なアプローチを採用すべきです」とBaiati氏は述べます。「リアルタイムで効果的な脅威検知と防御を確実にするため、デバイス内蔵型とクラウドベースのAIアプリケーションの双方を評価してください」

6. KRIとKPIが悪化している

「重要リスク指標（Key Risk Indicators：KRI）や重要業績評価指標（Key Performance Indicators：KPI）が予期せず悪化していると感じるなら、フレームワークを見直すべきかもしれません」と、監査・リスク・コンプライアンスのコンサルティング会社Protivitiでプライバシー・チームを率いるSameer Ansari氏は述べます。

サイバーセキュリティ・フレームワークを、規制遵守のためのチェックリストとしてしか使わず、適切なリスク判断のための道具として捉えていない組織は危険にさらされると、Ansari氏は警告します。「企業は最重要の事業目標と潜在リスクを考慮し、その観点からフレームワークを適用すべきです」

多くのサイバーセキュリティ責任者は、フレームワークの構築や更新の際に、自社のニーズに集中するのではなく、ベンチマーキングや他社比較に絡め取られてしまうと、Ansari氏は述べます。さらに悪いのは、量が質に勝るという思い込みです。

「複数のフレームワークを組み合わせようとして、管理や進化が難しい、雑然とした『フランケンシュタイン・フレームワーク』を作ってしまうセキュリティ責任者もいます」と同氏は警告します。

7. コンプライアンス偏重のアプローチに終始している

インシデント対応企業CypferのCEOであるDaniel Tobok氏によれば、多くのセキュリティ責任者が犯しがちな誤りは、事業目標を追うのではなく、主として「監査に通る」ことを目的にフレームワークを作ってしまうことです。コンプライアンス偏重のアプローチは、IT以外のステークホルダーからの重要な貢献をしばしば排除してしまうと同氏は警告します。その結果、紙の上では立派でも、実務では有効な防御を提供しないフレームワークになりがちです。

Tobok氏は、理想的にはサイバーセキュリティ・フレームワークは継続的に進化し、最もリスクの高い領域を優先すべきだと助言します。「ただし、既存のフレームワークが企業をもはや効果的に守れない場合や、段階的な修正のコストが便益を上回る場合には、全面的な再構築が必要になることもあります」

また同氏は、企業に根本的な変化が生じた直後――例えば新しいビジネスモデル、変更された規制要件、拡大した脅威環境など――にも再構築が直ちに必要になると付け加えます。これらはいずれも、既存のフレームワークが時代遅れまたは不十分であることにつながり得ます。（tf）