SolarWindsハッキング事件から学ぶサイバーセキュリティ15の心構え

（9）サイバー保険に加入していてもすべてカバーされるわけではない

この理由は単に、サイバーセキュリティ保険の資金は大規模な攻撃が発生した際に現在のシステムを維持するための十分な資金がないからだ。保険会社は、非常に多くの除外事項を提示していることがある。保険金が支払われた場合も、通常は技術的なものの回復に対してであることが多く、ビジネスや評判の損害まで対象となっていることは多くない。

（10）ITチームが問題を認識するまで待っていると、手遅れになる

専門家のサポートを求めるピークの時間帯は、金曜日の午後だ。これは、社内チームは往々にして、問題を解決するためにできる限りのことをしてから、最終的に上司に自分たちが技術的に足りていないと認めることが多いためである。その頃には、攻撃による影響や情報漏洩は大幅に拡大してしまうだろう。

（11）ギリギリのタイミングでは、適切なサポートを受けられない

重大なサイバーインシデントから回復するには、優れた技術専門知識や、法的に弁護可能なストーリーを明確にするための専門的な法的知識、ブランドを守るための専門家によるレピュテーション・サポート、および誤った情報や社会的ヒステリーに対抗するための真の信頼性を備えた信頼できる声が必要になる。これらすべての分野においてふさわしい専門家を見つけるには時間がかかるので、急にサポートを行うことはできない。事前に専門家との関係を築き、自社のビジネスについて深く理解してもらっておくことが最善である。

（12）標準的な危機管理計画は、サイバーインシデントでは機能しない

標準的な危機管理アプローチは、被害者として同情を得るという前提で、インシデントに共感を求めるように対応する。通常はうまく機能するが、サイバーインシデントでは機能しない。ハッキングされたら犯罪の被害者になるかもしれないが、インシデントの発生を事前に妨げなかったことで、メディアや人々から非難されるだろう。サイバーインシデントには完全に異なるアプローチが必要なのである。

（13）テストされていないバックアップ、DR、インシデント対応は機能しない

「技術的および組織的なサイバーセキュリティ対策の有効性の定期的なテスト、審査、評価」は、GDPRの下で実際に義務付けられている。没入型シミュレーション演習によって、バックアップと危機対応計画を可能な限り現実的にテストする必要がある。運転免許試験に、理論試験だけでなく技能試験も含まれるのには理由がある。道路の感覚をつかむには、実際の道路で練習する必要があるからだ。災害計画についても同じことが言える。

（14）経営陣不在のリハーサルでは、意味がない

もしシミュレーション演習への参加が係長や課長レベルの管理職に委任された場合、実際にハッキング攻撃が起こり、経営陣が説明を求められたとしても、彼らは対処法を知らない。クライシスのリハーサルには、実際の事件が発生した時に行動する経営陣こそ、参加する必要がある。

（15）法的に弁護できるストーリーなくして、訴訟で勝てない

データプライバシー訴訟は、身代金や技術的修補費、規制上の罰金を合わせたコストをあっという間に上回ってしまう。評判の低下は別として、最大の影響は、訴訟される可能性があるので、法的に弁護できるような対策を練ることは優先させなければならない。ビジネスの存続は、それにかかっているかもしれない。また、対策は上記のすべてのポイントに対処する必要がある。

許容できるリスク、そして各問題に対する不明確な点について検討する際、法廷であれば自身の決断と行動をどのように弁護できるかを考えていただきたい。なぜなら、いつかそれが本当に必要になるかもしれないからである。また、法的措置は組織に対してのみ行われるのではなく、意思決定者や取締役会のメンバーも個別に責任を問われる。

NSAやSolarWindsハッキング事件の被害者は、システムをゼロから再構築するという莫大なコストと課題に直面しているため、これらのヒントはなんの慰めにもならないだろう。ただし、彼らと同じ運命をたどることを回避したいのであれば、心に留めておいていただきたい。そして、サイバーセキュリティを、白か黒かで考えないようにしていただきたい。完全に安全なネットワークなどない。私たちは脅威にさらされており、その脅威はグレーな、曖昧な状態で現れるのだ。