サイバーセキュリティリスクは、デジタルトランスフォーメーション(DX)に取り組む組織にとって極めて重要な懸念事項となっています。高度なテクノロジーの活用は、ビジネス変革を促進するだけでなく、複合的なサイバーセキュリティリスクをもたらす可能性があります。また、サードパーティなどの外部ベンダーへの依存度が高いほど、リスクは深刻化するだけでなく、影響範囲は自組織の管理範疇を超えて外部ベンダーにまで及ぶ可能性があります。
このような状況下において、サイバーセキュリティリスクを把握し、管理することは、サイバーセキュリティリスクマネジメントに関する強固な戦略において不可欠となります。外部ベンダー、特にサプライチェーンにおいて多少距離感のあるフォースパーティベンダーに依存することは、脆弱性のリスクを高めることになりかねません。外部ベンダーは、必ずしも自組織の管理下にあるとは限りません。しかし、そのセキュリティ対策は自組織のリスクプロファイルに直接影響を与えます。
本稿では、サイバーセキュリティリスクの概念を掘り下げ、さまざまな業種がサイバーセキュリティリスクに対処する際に考慮すべき重要事項を解説します。これら重要事項は、組織が効果的なサイバーセキュリティリスクマネジメント戦略を策定する上で必要不可欠であり、対象は外部ベンダーを含めた関係組織全体となります。
サイバーセキュリティリスクとは?
では、サイバーセキュリティリスクとは何でしょうか?その答えは、組織に対するサイバー攻撃やデータ侵害によって生じる潜在的な被害や損失を指し、組織のデジタルシステムやネットワークにおける潜在的な脅威と脆弱性を特定することです。また、サイバー攻撃だけでなく、それに伴う金銭的損失、風評被害、業務の中断などによる損害も含まれます。
サイバーセキュリティリスクの例として、ランサムウェア攻撃、マルウェア、内部関係者による脅威など、さまざまな悪意のある行為が挙げられます。また、フィッシング攻撃や、脆弱性や法的問題につながるコンプライアンス管理の不備は、頻発しているリスクです。
サイバーセキュリティリスクの責任に関して、組織の大多数はITチームとセキュリティチームだけにあると考えていますが、実際には、組織全体にあります。
巧妙化する脅威に対処するため、あらゆる業界において、有事の際に組織全体が取るべき具体的な手順をまとめたインシデント対応計画を含めたサイバーセキュリティリスクマネジメント戦略を策定した上で、それを継続的に評価・更新することが求められます。
これにより、自社の資産を保護し、顧客からの信頼を維持し、財務や評判に致命的な影響を与える可能性のあるリスクを回避することができるのです。積極的な対策として、定期的な従業員向けトレーニング、コンプライアンスの厳格な順守、マルウェアやランサムウェアを検出・対応するための堅牢なシステムなどが挙げられます。
サイバーセキュリティリスクマネジメント戦略策定におけるポイント
では、サイバセキュリティリスクに対する防御を堅牢なものにするために、企業が策定すべきサイバーセキュリティリスクマネジメント戦略について考えてみましょう。
前述したように、サイバーセキュリティリスクにはさまざまな形態があるうえ、業界によって異なり、常に進化しています。以下、サイバーセキュリティリスクマネジメント戦略を策定する際に留意すべき重要な点を紹介します。
アウトソースベンダー
サードパーティやフォースパーティのベンダーは、コスト削減や業務効率化のために特定業務をアウトソーシングできるため、多くの組織にとって不可欠な存在です。しかし、アウトソースベンダーは、組織の機密性の高いデータにアクセスできる、またはアクセスするための踏み台にされる可能性があることから、重大なセキュリティリスクをもたらす可能性もあります。
アウトソースベンダーに起因するリスクを防御するためには、ネットワーク内のすべてのベンダーを完全かつ継続的に可視化することが極めて重要で、ベンダーの活動や潜在的な脆弱性を常に監視することが求められます。
また、効果的なサードパーティにまつわるリスクマネジメント戦略を導入することは、アウトソーシングのメリットと厳格なセキュリティプロトコルの維持とのバランスをとる上で重要です。その戦略には、アウトソースベンダーの業務に関連するリスクを軽減するための定期的な評価、継続的な監視、効果的な管理施策を含める必要があります。
これにより、組織はサイバーセキュリティリスクを最小限に抑えながら、ベンダーとのパートナーシップの利点を活用することが可能になります。
従業員およびアウトソースベンダー(内部脅威)
従業員やアウトソースベンダーなど、ネットワークにアクセスできる内部関係者は、サイバーセキュリティ態勢を維持する上で大きな役割を果たします。
内部関係者がリスクを特定し、検出された際に何をすべきかを理解していれば、リスクを軽減するための積極的な措置を講じることができます。また、組織は、内部関係者が過失または悪意を持ってアクセスコントロールを利用する機会を制御することに役立つゼロトラストセキュリティモデルを導入すべきです。
コンプライアンス対策
データプライバシーがますます顧客の関心事となるにつれ、PCI、HIPAA、GDPRなどの規制がより厳格になっています。これらの規制は重要ではありますが、準拠しているからといって、組織を攻撃者から保護することを保証するものではないことも理解すべきです。
組織は常にコンプライアンスを維持することができない可能性があるため、ポイントインタイム評価ではもはや不十分です。そのため、効果的なサイバーセキュリティ戦略には、ネットワークエコシステム全体のコンプライアンス違反を継続的に監視する機能を含める必要があります。
知的財産と機密情報
企業はかつてない量の顧客情報を保有しています。このような機密データは、顧客体験の向上や戦略的意思決定に役立つ貴重なものである一方、サイバー脅威のリスクも大幅に増大させます。
機密データや知的財産が適切に保護されていない場合、企業はデータ漏洩や知的財産の盗難被害を被りやすくなります。組織にとって、自社のデータセキュリティ体制を徹底的に評価し、データ保護に関する業界固有の規制と整合性をとることが必要不可欠です。
機密性の高い顧客データや知的財産を安全に保管することは、規制順守にとどまらず、顧客からの信頼を維持し、組織の評判を守ることにもつながります。進化するサイバーリスクに対応し、機密データを不正アクセスや侵害から保護するためには、セキュリティプロトコルの定期的な監査と更新が必要です。
また、サイバーセキュリティリスクの評価も、サイバーセキュリティリスクマネジメント戦略を策定する上で重要な項目です。
サイバーセキュリティリスクを評価するために、組織はまず、データ、システム、ネットワークなどの有形・無形の重要資産を特定する必要があります。
次に、これら資産の脆弱性を評価し、サイバー脅威に悪用される可能性がある脆弱性を特定する必要があります。確立されたリスク評価のフレームワークを活用することは、脆弱性を体系的に分析し、分類することに役立ちます。また、定期的な監査とセキュリティ評価は、組織が常に潜在的なリスクを把握し、状況を改善するためにも重要です。
最後に
テクノロジーがビジネスと切り離せない時代において、効果的なサイバーリスク管理は、機密データ、金融資産、評判を保護し、進化するデジタル脅威から組織を守る上で最も重要です。
強固なサイバーリスクマネジメント戦略は、サイバー攻撃の影響を軽減するだけでなく、オペレーションのレジリエンスを全体的に強化し、相互接続されたデジタル環境の中で信頼を醸成し、規制遵守を担保し、事業継続性を維持するための必須事項です。
著者プロフィール
藤本 大(SecurityScorecard株式会社 日本法人代表取締役社長)
1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業等の大手日本企業や外資企業を担当し、ネットワークサービスのみならず様々なセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。 1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。