本レポートは、KPMGインターナショナルが2020年に発表した「Cyber and fraud incidents: looking beyond the obvious Challenges of embedding security in agile development.」を翻訳したものです。翻訳と英語原文間に齟齬がある場合は、当該英語原文が優先するものとします。

ここ最近、サイバーセキュリティの専門家は予期せぬ形でその能力を試されるようになりました。リモートワークを促進するための何千もの消費者向けウェブアプリケーションやクラウドファシリティ、社内コラボレーションツールが短期間のうちに生み出され、生産性の向上や顧客サポートのための取組みが進む一方、セキュリティは後回しにされてきました。
新たなクラウド環境の設計にセキュリティが組み込まれていないことだけが問題なのではありません。万が一、脆弱性が悪用された場合、セキュリティチームは慣れない勤務形態でリソースや必要なツールへのアクセスが限定されたまま、インシデント対応に当たらなければいけないことが問題となるのです。
組織がインシデントに対してとるスタンスとして、「透明性」は最も強力なものの1つです。パンデミック下では、共有、コラボレーション、組織内の信頼関係が希望の兆しとなります。信頼しあう企業文化があれば、各自が互いの経験から学び、改善することが可能です。こうした環境を、パンデミック終息後も育てていくことが重要です。

原因を分析する

重大なインシデントが発生した後、原因を分析することが重要です。ただ目の前の事象から急いで教訓を引き出すのではなく、以下に挙げるような、より広範で思慮深い分析が必要です。
・組織やコミュニティとして、なぜ攻撃を防げなかったのか。
・テストの際に「最悪のシナリオ」を想定していたか。
・何が攻撃の対象とされたか。
・盗まれたデータを細かく分析したか。
・どの部分が悪用されたか。
・基本的な設定エラーが問題だったのか、それともソフトウェアの脆弱性か。さらに深い問題があったのか。
・なぜ攻撃が成功したのか、攻撃を特定し対応するまでになぜ長い時間がかかったか。
・攻撃をうまく切り抜ける方法はなかったのか。

部門横断型のインシデント対応チームについては、以下のような内容を検討すべきです。
・なぜ攻撃を阻止できなかったか。
・インシデントの全体像を見誤った理由や何を失敗したか。
・担当者は問題の予兆を見過ごしていたか、あるいは(予兆は感じていたものの)対処法がわからなかったのか。

実際には、IT、デジタル、データ分析、ロボティクス・オートメーション、テクノロジー、不正管理、レベニューアシュアランス、カスタマーサービス、リスク管理、財務、監査、セキュリティなどのさまざまなチームが攻撃への対処に貢献することができます。セキュリティが注目されがちですが、より大きな全体像を見逃しているかもしれません。

「従来型ビジネス」と「デジタルビジネス」が混在するハイブリッドな世界

世界中の組織が、競争の激化、規制当局による監視、収益性とコスト効率の改善に向けたプレッシャーに直面しています。それを受け、デジタル型ビジネスモデルへと速やかに移行するための合理的なオペレーティングモデルが求められています。ただ、従来型とデジタル型のビジネスモデルが混在するハイブリッドなオペレーティングモデルは、組織内に新たなサイロを生み出す危険性をはらんでいます。従来型とデジタル型、それぞれに根付いたプロセスが混在し、連携や一貫性、コミュニケーションの欠如した状況は、サイバー攻撃に真っ先に狙われやすいとも言えます。
意外にも、2019年は新しいデジタルチャネルをターゲットにしたサイバーインシデントが数多く発生し、従来型のチャネルへの攻撃と同様の手法による被害が見られました。しかも攻撃がより速く、広範囲に亘ったことで被害の規模も甚大となりました。

一段階上のセキュリティ管理

こうした新たなデジタル領域にサイバーセキュリティを組み込むには、従来型の管理手法を、新しいテクノロジー、環境、パートナーに合った形に作り変える必要があります。
ただ、このアプローチは常に有効ではありません。従来型の管理手法を、異なる環境で動く新しいテクノロジーに融合できないこともあります。企業は迅速かつ拡張性に優れ、将来的な更改やテクノロジーの適用を見据えた、一段階上のセキュリティ管理を構築する必要があるでしょう。

お問合せ