CISOにとって最も重要なこととは

世界はほんの数年前とは別世界のようです。新型コロナウイルス感染症(COVID-19)は、働き方を変え、リモートやハイブリッドモデルへの移行が加速しました。その過程で、サイバーセキュリティの新たなリスクに遭遇し、そのリスクから組織を守ることが事業存続のために必要になりました。

新たなIT環境の整備が進んでいた矢先、地政学的な緊張から世界の二極化が進み、再び状況が変化しました。今後、ビジネス、経済、技術、規制の変化はさらに進み、混乱はさらに大きくなると予想されます。
サイバー脅威の現状は、犯罪者(組織化されたケースと国家の支援を受けたケースの両方)が混乱を引き起こし、利益を得るための新しい機会を求め、進化し続けています。サイバーの専門家、特にCISOは懸命に動いてはいるものの、ほとんど進展していないように感じることが多いようです。

セキュリティチームにとって最も合理的な考え方は、「すべてを防御することは不可能」と認めることですが、経営陣に伝えるには難しいメッセージです。組織は常にある程度のサイバーリスクを抱えており、あらゆるデューデリジェンスにもかかわらず、セキュリティ管理は失敗する可能性があり、また実際に失敗することも少なからずあります。企業がすべての潜在的なリスクから組織を保護しようとすると、予算がかさむだけでなく、セキュリティ対策が業務や事業活動に与える影響を考えると、機会損失が大きくなる可能性があります。

CISOにとって最も重要なことは、サイバー攻撃のリスクが増大する中、組織の回復力を維持することです。つまり、万が一、情報漏えいやネットワーク侵害が発生した場合、いかに迅速に攻撃を検知し、封じ込め、通常業務を再開し、顧客への影響を最小限にとどめることができるか、ということです。
特に金融機関など、相次ぐ規制への対応に迫られるレジリエンスにおける課題を象徴しています。多くの場合、その解決策には、効果的な検知と対応、混乱後の迅速かつ優先順位をつけたシステムの再構築/修復、そしてビジネスにとって真に重要なものへの集中が含まれます。最終的に、企業は保護対策への投資とレジリエンス向上の間でバランスを取る必要があります。

CISOが2023年に優先すべき8つの課題

KPMGが近く発行する年次報告書「サイバーセキュリティ主要課題2023」では、世界のサイバーセキュリティの専門家が、サイバーインシデントの影響を軽減し、組織の将来を守るためにCISOとそのチームが2023年に優先すべき8つの課題を明確にしています。
ここでは、8つのポイントを簡単に紹介します。

  1. 不確実性な時代(VUCA)に特に重要な信頼
    デジタルトラストは、取締役会の議論すべき課題になりつつあります。人々は、企業が個人情報の取扱いにおいて、正直、誠実、透明性を持って行動し、デジタルサービスを安全かつ確実に提供することを期待しています。政治家や規制当局は、このような世間の声をふまえ、企業行動に異議を唱えるべく行動しています。本報告書では、KPMGが実施した「サイバー・トラスト・インサイト2022」調査を活用し、CISOとそのチームが、議論を盛り上げ、信頼の構築と維持に不可欠な役割を果たすための実践的な行動について解説しています。
  2. 自動化への信頼
    KPMGの「サイバー・トラスト・インサイト2022」調査によると、78%の経営幹部が「高度な人工知能や機械学習システムの採用はサイバーセキュリティに関する独自の課題をもたらすほか、広範な倫理的問題も引き起こす」と考えていることが明らかになりました。AIを活用した構造のセキュリティとプライバシーをサポートしつつ、迅速なイノベーションとアジャイル開発を可能にするフレームワークを構築することが、急速に発展する技術の可能性を活用するための鍵となります。
    本報告書は、CISOがプライバシーおよびデータサイエンスチームと連携しながら、上記の目的をどのように達成するか、および、急速に変化する規制環境に自社が備えるためにどのように支援しているかを探ります。
  3. 縁の下のセキュリティ
    セキュリティはシステムに追加費用と複雑さをもたらし、機能性を制限する「減速ロードハンプ」として認識されがちです。
    「利用者はパスワードに依存し続け、アカウントがロックされると不満を爆発させ激怒する」と思われていますが、本当にそうでしょうか。それとも、私たちのセキュリティシステムは不親切で使い勝手が悪いのでしょうか。本報告書では、セキュリティを効果的にビジネスに組み込む方法を検討し、でしゃばらないだけでなく、直感的で、従業員全体に動機づけし、皆が「ヒューマンファイアウォール」の一部になることを目指します。
  4. 境界のない未来の確保
    新型コロナウイルス感染症はデジタルビジネスの境界が存在するという幻想を取り除き、企業はリモートワークやハイブリッドワークの形態に適応することを余儀なくされました。24時間365日稼働する現在のビジネス環境では、クラウドコンピューティングプラットフォームで結ばれたパートナーやサプライヤーの複雑なエコシステムに依存するようになったため、境界線を真に定義するための支援が必要です。この新しい現実の中で、企業はどのようにして、この高度に分散したビジネスモデルを保護することができるでしょうか。本報告書では、将来のビジネスモデルに合致した新しい信頼性のパラダイムとフレームワークを導入するための実際的な方法について掘り下げていきます。
  5. 変化が必要なセキュリティチーム
    セキュリティ機能の変化の必要性を軽視するのは、非常に考えが甘いと言わざるをえません。現在のセキュリティチームは、従来とまったく異なる役割を担っています。責任共有モデルは、クラウドサービスプロバイダーとの新しいパートナーシップをもたらし、アジャイルDevOpsプロセスへのシフトは企画・設計段階からサイバーセキュリティ対策を確保する(security by design)という新しい考え方につながりました。本報告書では、セキュリティを拡張した企業のすべての領域をつなぐ「金の糸」とされる新しいセキュリティモデルや、それに伴う新しいスキルの必要性について明らかにします。
  6. 賢明な世界のための「スマートセキュリティ」
    現在の世界は、ネットワークに接続されたデバイスが生活のあらゆる場面、特にデジタルと物理の領域を支えるインフラに組み込まれることで、ますますスマートになっています。高度な制御システム(OT)、ネットワーク化されたユビキタスセンサー、自律システム、ロボティクスなど、従来とは開発・運用環境が大きく異なっています。これらの新しい構造では、セキュリティの重要性がさらに高まり、ITとOTの間の従来の区分が薄れつつあると言えるでしょう。
    本報告書では、企業がこれらの環境でセキュリティに関する新しいマインドセットを醸成するための施策やインフラと製品のセキュリティを実現するために規制当局が企業に期待することについて解説します。
  7. 俊敏な敵への対抗
    数年前、サイバーセキュリティの世界では1週間が「長時間」とされていましたが、今は、機敏な攻撃者に対処する場合、1日が永遠のように感じられることがあります。セキュリティのコミュニティを構成する我々は、新しい攻撃者の戦術を検出してブロックし、パートナーと技術面で協力して攻撃インフラを破壊し、国家レベルで積極的な防衛策を実施する能力を大幅に向上させてきました。
    ただこういった能力を活用するためには、数分以内に対応し、異常な行動や悪意のある行動を素早く検知し、封じ込め対策を適用して、攻撃者をネットワークから根絶するセキュリティ運用が必要です。
    本報告書では、将来のセキュリティオペレーションセンターとマネージド・ディテクション&レスポンスサービスがどのようなものになるか、機械学習の役割、より広範なコミュニティ参加型モデルについても評価します。
  8. 重要な時に重要な場所で問われるレジリエンス
    最善の努力にもかかわらず、最悪の事態が起こる可能性があり、実際、避けることは難しいでしょう。そういった意味でも、CISOは組織のセキュリティに対する責任を自分たちだけの問題として引き受けようとしないようにする必要があります。
    むしろ、CISOとそのチームは、組織全体で行う対話の企画者、推進者、触媒として機能することができ、組織を混乱させようとする悪意のある敵と対抗するための議論に貴重な視点を提供することができます。本報告書では、サイバー攻撃に直面したときのレジリエンスの課題と、組織が最善の準備をする方法を分析しています。

2023年になっても、私たちの世界は依然として急速に変化し、困難で流動的です。CISOとそのチームは、新たな課題に適応する必要があります。そうすることで、サイバーセキュリティという「金の糸」がビジネス全体につむがれ、将来の戦略および運用計画のあらゆる側面に触れることができるでしょう。

本稿は、KPMGインターナショナルが2022年12月に発表した「The CISO’s imperative」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
The CISO’s imperative

お問合せ