貴社のマネジメントは、大規模なサイバー侵害に対処する準備ができていますか?
まず誰に連絡し、何を優先し、いかにして被害を食い止めるか、把握できていますか?
取締役会はサイバー攻撃への備えに対し、重要な監督責任を有しています。これらは悩ましい質問ですが、この質問に効果的な回答をすることが、マネジメントの責務と言えるでしょう。
確実に言えるのは「サイバー侵害は不可避だ」ということです。在宅ワークの導入に伴うハイブリッドな作業環境、高度化されたデジタルサービス、オンラインでの作業可能なプラットフォームの活用など、前例がなく、かつ急速な変化により、企業間取引(B2B)および企業と個人間の商取引(B2C)の機密データがサイバー犯罪者の手の届く場所に置かれるようになりました。その結果、世界で幅広くサイバー攻撃が増加し、機密データを保有・処理するあらゆる組織に対して規制当局の監視が強化されています。
サイバーインシデントのリスクは、取締役会にとって秘密事項であってはなりません。取締役会の責任をどのように果たすべきか、本稿では、あらゆる経営層に差し迫っている問題について考察します。
セキュリティインシデントで発生する幅広いリスク
情報漏えいの影響は、決して小さくありません。ランサムウェア攻撃で数百万ドルを要求されたり、ゼロデイ攻撃で業務全体が停止したりすることは珍しくありません。これらの攻撃やフィッシング、マルウェア、分散型サービス妨害(DDoS)などの攻撃を防ぐことができなければ、企業は風評被害、金銭的損失、業務の中断、法規制の影響といったリスクを負うことになります。
たとえば、規制の厳しい業界(金融サービス、運輸、ヘルスケア、エネルギー、通信など)では、サイバーインシデントが発生すると、社会や規制当局から厳しい目で見られることになります。同時に、顧客情報の消失や漏えいは、市場をリードするブランドやサービスプロバイダーに悪影響を及ぼす可能性があります。ゼロデイ攻撃は、製造業者、流通業者、その他のサプライチェーン関係者に大きな打撃を与える可能性があります。
自社で扱っているデータに価値がないと思っている人は再考が必要です。B2B(知的財産、取引文書、企業秘密など)、B2C(顧客情報、クレジットカード番号など)にかかわらず、盗まれたデータがダークウェブに出回れば、どこかの誰かが価値あるものを求め、それらのデータをかき集めようとするに違いありません。
6つの重要な質問
避けて通れない事実として、セキュリティインシデントが発生した場合に組織が断固とした態度で効果的に行動できるように準備する責任が取締役会にはあります。企業がサイバーインシデントへの戦略を見直す際に、取締役会にて協議すべき6つの重要な質問は以下の通りです。
(1)当事者意識を持ってセキュリティインシデントへの準備を行っているか?
サイバーセキュリティポリシー等の実装について、取締役会が直接責任を担っているわけではありません。また、サイバーインシデント対応の管理を単独で担当しているわけでもありません。ただ、取締役会は組織内の全員がリスクを理解し、そのリスクを軽減するために自分たちの役割を果たすことを確認するという意味で、活動を促進することが期待されています。
(2)私たちは何を守っているのか?
最もリスクの高いデータは何か?そのデータの価値は何か、データの紛失や漏えいは組織、顧客、協力会社にどのような影響を与えるか?効果的なインシデント準備への戦略づくりは、サイバー犯罪者がなぜ組織を標的にするかを理解することから始まります。
(3)他にどのようなものがあるのか?
サイバー犯罪者に狙われる要素はデータだけではありません。主要なシステムをロックしたり破壊したりすることで、業務を狙う攻撃もあります。こうした潜在的な攻撃についても考慮する必要があります。
(4)適切なリソースを配分しているか?
すべての業務部門とリーダーは、サイバーレジリエンスを維持するために必要なリソースを有していますか?これにはトレーニング、フレームワーク、ポリシー、サイバーセキュリティツールが含まれます。
(5)侵入に備える文化をどのように根付かせるか?
侵害への備えは、一度だけの簡単な演習ではありません。リスクの状況が変化する中で、常に監視し、更新する必要があります。そのためには、リスクを認識し、それを心に刻むメンタリティが必要です。
(6)従業員の離職率を考慮しているか?
従業員が退職した場合、サイバー戦略はどうなりますか?従業員のサイバーセキュリティに対する責任が引き継がれているか、また、従業員のスキルやトレーニングが退職者と一緒に流出していないかを確認するために、どのようなプロセスが実施されているでしょうか?
上記を確認することは非常に重要ですが、それと同時に、適切な他の質問をすることも重要です。ITリーダー、サイバーセキュリティの専門家、信頼できる業界のアドバイザーと協力することで、サイバーインシデントに備えるための戦略を確実なものにすることができます。
本稿は、KPMGカナダが2022年1月に発表した「Into the breach」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
原文はこちらから(英文)
Into the breach