サイバーセキュリティリスクを再定義する外部の圧力

過去4年間、第三者のネットワークに由来する脅威によって、多くの組織が不意を突かれるのを見てきました。データ侵害の35%以上は、組織の管理の失敗ではなく、侵害されたベンダーまたはパートナーが原因です。多くの組織は、セキュリティへの最大の脅威が完全に管理外の力から来ることを知っていますが、そのリスクは今年加速しています。

そうした脅威の一部は、ネットワークを超えて、さらには彼らの地域をはるかに超えた場所から来ています。国際紛争は攻撃者の行動に影響を与えており、紛争地帯からはるか遠く離れた場所にも現れています。AI駆動の自動化は、システムと人々を悪用するために必要な労力を減少させています。第三者リスクは、十分に防御された組織でも深刻なインシデントに見舞われる最も一般的な理由であり続けています。

これら3つの要因は、サイバーセキュリティリスクを高める環境を作り出しています。私はセキュリティに投資し、リスクを定量化し、レジリエンスを真摯に考える組織と協力しています。しかし、本当に破壊的なことが起こった場合、それは基本的な管理が不足していることが原因ではありません。セキュリティは、組織のファイアウォールをはるかに超えて広がるチェーンの最も弱いリンクと同じレベルです。そしてそれらの弱いリンクは増殖しています。

地政学的紛争はサイバーリスクを増幅します。特にOTネットワークの場合

長い間、地政学的紛争はリスクの別のカテゴリーのように感じられました。紛争地帯またはその近くで事業を行っていなければ、それがあなたの組織やセキュリティポスチャーにほとんどリスクをもたらさないと仮定するのは簡単でした。しかし、私の経験からすると、その仮定はもはや成り立ちません。

前の職務では、イスラエルにオフィスを持っていたため、常にその地域での緊張と紛争に警戒し、注意を払っていました。一貫して見られるのは、活発な地政学的紛争で使用される技術は、その地理的領域またはデジタル環境に限定されたままではないということです。それらの技術と戦術は、テストされ、改良され、その後、犯罪グループや他の脅威行為者によって使用されます。最終的に、元の紛争とは何の関係もない環境に浮上します。

2026年WEFグローバルサイバーセキュリティ見通しはこの変化を反映しており、地政学的不安定性をサイバーリスクの主要な推進要因として指摘し、それらの緊張がエネルギー、電気通信、水などのさまざまなセクターへの繰り返されるサイバーおよび運動学的混乱にどのように変わったかを示しています。米国が運動学的攻撃を受ける可能性ははるかに低いですが、私たちは戦闘でテストされたサイバー攻撃を受けており、受け続けています。この種の攻撃によって標的にされることが多いネットワークは、運用技術（OT）ネットワークとIoTデバイスです。このレポートは正しくこれを実際の安全性と継続性への影響に結び付けており、データ損失だけではなく、これは私の経験と一致しています。リーダーとして、あなたは活発な戦争地帯からあなたの環境への何らかの波及を予期し、それに応じて計画する必要があります。多層防御は単なるスローガンではなく、この種のリスクを回避、軽減、または転送する方法です。

先見性を持つ組織が行っているのは、OTセキュリティを取締役会レベルに昇格させることで、OTリスクが取締役会の監視としてリスクレジスターに追加されるようにすることです。生命と健康に関する懸念が最優先事項である組織では、攻撃による被害範囲を減らすためにネットワークをセグメント化しています。最良の防御は、3-2-1-1戦略を使用した不変バックアップを持つランサムウェア耐性のあるバックアップソリューションを実装することです。その追加の1つは不変コピーです。取締役会がリスクを認識すると、通常、予算がそれに続きます。

AIは攻撃者と防御の両方を加速していますが、ガバナンスがしばしば不足しています

サイバーセキュリティで生成AIが行っていることについて見えるのは、攻撃者が行えることを加速させ、新しい犯罪グループの参入コストを低下させることです。サイバー攻撃はより強力になっています。なぜなら、その技術は被害者を対象にしたり、ディープフェイク動画や露骨で下品な画像を作成したり、その声を偽ったりするのが簡単になるからです。サイバー防御ツールは改善されていますが、勘違いしないでください。私たちは攻撃者、犯罪者、国家との軍拡競争の中にいます。

同時に、組織は内部AI導入を通じてレバレッジとバウンドで攻撃面を拡大しています。チャットボット、AIアシスタント、GPTモデル、内部AIツールはすべて新しい攻撃ベクトルです。エージェント型AIツールは構築が非常に簡単ですが、必要以上にアクセスと権限が付与されていることがよくあります。メールを読んで作成でき、予定と連絡先を作成して削除できるエージェントは、ループ内に人間がいるか適切なガバナンスが整っていない場合、大きな利益をもたらしながら同時に混乱を引き起こす可能性があります。多くの組織は、AIを保護する前により早くそれをデプロイしています。

実際には、組織はしばしば2つのパスに従います。最初は、通常数百万ドルの費用がかかる大規模で華やかなAIプロジェクトですが、明確な目標、クリーンなデータ、またはプロジェクト開始前の適切なガバナンスがないことがよくあります。この場合、プロジェクトはポリシーと決定が下されるにつれてスタッフします。予算が枯渇し、タイムラインがずれ、プロジェクト日付が拡張されるか、そうではなく、プロジェクトは中止されるか、内部スタッフがコンサルタントから十分に学んだ後、社内に持ち込まれます。

2番目のパスはより遅く、より小さく、内部主導の場合が多いです。この小規模なプロジェクトはより有機的で、多くの場合、組織の特定のプロジェクトまたは必要性に焦点を当てています。このより小規模なプロジェクトの予算は最小限ですが、概念実証が実行可能になり、ROIを実証できるまでです。小規模なプロジェクトがより遅いため、ポリシーとガバナンスはそれと並行して開発できます。

リーダーは、AIモデルは操作され、悪用される可能性があると想定する必要があります。AIモデルは堅牢なデータガバナンスポリシーと管理がなければ、データリーク問題が発生します。また、プロンプトインジェクション攻撃は完全に防止することはできません。強力なガードレールが必要であり、データモデルとガードレールを定期的に評価する必要があります。

ガバナンスの問題に対処するために成功している企業が行っていることについて見えるのは、CISO、CAIO、CTO、法務およびリスク、ならびに評議会を持つAIリスク評議会を作成することです。最低でも、モデルリリースに対する拒否権があり、AIペンテストを実行する時間が与えられています。強力なリスク計画を持つ組織は、NISTリスク管理フレームワークを採用する傾向があります。これは任意のプロジェクトのAIガバナンスプログラムを開始するための素晴らしいガイドです。

サイバー不平等はシステミックなビジネスリスクです

すべてを正しく行った場合でも、ネットワークに接続されているパートナーが脆弱性を作成できます。ベンダーとパートナーは、あなたと同じレベルのサイバーマチュリティで動作しないかもしれません。

自分たちのセキュリティプログラムが保持されていても、データ侵害を受けた4つの組織との直接的な経験があります。各ケースでは、ベンダーまたはパートナーが最初に侵害されました。その効果は毎回同じでした。企業データが侵害され、組織はまるで失敗したかのように対応する必要がありました。第三者の方を指したとしても、データが盗まれた顧客や信頼を回復するのに役立つことはありません。

犯罪グループは日和見的です。彼らは最も弱いリンクを攻撃し、あなたの仕入先があなたが行うのと同じレベルの管理に投資していないか、必要とするレベルに投資していない場合、システムが統合された瞬間から、それはあなたのビジネスへのリスクです。多くのリーダーは、これが間接的に感じられるため、この露出を過小評価していますが、サイバー不平等はあなたのビジネスへのシステミックリスクです。

これは、サプライチェーンの混乱が組織に完全にマッピングしていなかった依存関係を検査するよう強制したパンデミック中により目に見えるようになりました。その教訓は今も関連性があります。組織が外部パートナーにより大きく依存するようになるにつれて、内部と外部の露出の間のギャップは広がり続けています。

これらのリスクが圧倒されているように感じた場合は、パニックにならないでください。この急速に進化する脅威の状況は新しい常識ですが、このような動的環境はサイバーセキュリティプロフェッショナルのようなものです。私たちは変化が好きです。最も良く対応する組織は、パートナーが最終的に侵害されると想定する現実的なインシデント対応とビジネス継続計画を持っています。彼らは内部チームを早期に関与させ、信頼できるパートナーと緊密に協力して、混乱が発生したときに対応が反応的ではなく調整されるようにしています。

組織はこれらの外部の圧力を排除することはできませんが、それらを計画することはできます。私が成功するのを見るリーダーは、混乱を想定し、レジリエンスに投資し、管理外から始まる失敗に備えています。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか？