人工知能(AI)、ブロックチェーン、生体認証、ハイパーコネクテッドなシステム、バーチャルリアリティなど、画期的なテクノロジーが未来を形作っていくことが予想されています。これらのテクノロジーは、セキュリティ、プライバシー、倫理面で新たな課題を提起し、デジタルに依存した社会に対する信頼に根本的な疑問を投げかける可能性があります。
本レポートでは、デジタルトラスト(デジタル技術の活用への信頼)が競争優位になり得ることを取締役会や上級管理職に示すため、広範なビジネス関係者、特にCISOがとるべき行動について考察しました。
CISOに求められる8つのアクション
デジタルトラスト:責任の共有
デジタルトラストは、デジタル技術を駆使したビジネスを将来の成功へと導き、サイバーセキュリティとプライバシーは、デジタルトラストを構築するための重要な基盤です。CISOは、取締役会と経営幹部がステークホルダーの信頼を構築・維持し、競争優位性を確立することを支援できるよう準備しておく必要があります。
デジタルトラスト向上を実現する上でCISOに求められる役割
- CISOは、経営幹部や取締役会に対して、デジタルトラストの重要性とデジタル技術の信頼性を高めるためのビジネス戦略について説明する。
- 信頼できるパートナーやサプライヤーを選定し、情報保護に関する透明性や、適切な復旧・対応能力を証明するための適格な基準を設ける。
- デジタルトラストの概念を企業戦略、製品開発、企業全体の市場プレゼンス、法人・小売顧客との関係に組み込む。
「縁の下の力持ち」のセキュリティが安全な行動を促す
絶対的なセキュリティは存在しないため、CISOは、いつどこでセキュリティが最も重要になるか、どこにセキュリティ対策を追加すればビジネスにプラスの影響を与えるかについて気を配ることが重要です。
セキュリティ管理を考慮する上でCISOが持つべきマインドセット
- サイバーセキュリティを単なる規制上の必須事項として考えるのではなく、幅広いビジネスニーズを踏まえた企業全体の優先事項に沿ったサイバーセキュリティの計画と顧客体験、使いやすさを考慮する。
- 技術だけでなく、人的な側面にも目を向けて、教育やトレーニングから基本的な認識に至るまで、組織全体で強固なセキュリティ文化を構築する。
データ中心の未来を守る
分散コンピューティングの世界において、従業員、顧客、サプライヤー、その他のサードパーティを、シームレスにリモートで安全につながるようにすることが、ビジネス上の明確な必要条件になっています。境界のないビジネスのためのセキュリティとして、ゼロトラストアプローチは、機能停止や侵害が発生した際の影響を縮小し限定することで、インシデントをより適切に管理・抑制するのに役立ちます。
ゼロトラストの実践におけるポイント
- デバイスとユーザーの認証とその信頼性の課題に対して、ID検証の観点からセキュリティについて考える必要があり、組織内のユーザーや、ユーザーがやり取りする多くのサードパーティの最小権限アクセスに焦点を当てる。
- ゼロトラストモデルとメッセージを体系化するだけでなく、ポリシーの制定、基準の設定、ソフトウェアソリューションの設計、さまざまなテクノロジーリーダーやビジネスリーダーを含む組織全体のセキュリティ協議会の結成においても重要な役割を果たす。
- 取締役会や他の組織のリーダーが、ゼロトラストへの投資は単なる新しい技術の1つではなく、安全で境界のない未来を支えるための新しい考え方であることを理解できるよう、ゼロトラストの枠組みを説明する。
新しいパートナーシップとモデル
CISOは、いつブレーキを踏むべきか、いつサイバーセキュリティ対策のアウトソーシングを進めるべきか、現在および将来にわたって、どのようなスキルを社内に残すべきかを判断する必要があります。
アウトソーシングを活用したセキュリティ対策の検討ポイント
- セキュリティの観点から何を社内に保持すべきかを理解し、その分野の人材にとって最も効果的な調達戦略を特定する。
- 自社のスキルベースを定期的に評価し、賢明で協力的なクラウド/マネージドセキュリティサービスであると理解してもらうよう働きかける。
自動化への信頼
AI活用におけるプライバシー規制が目前に迫っている今、AIを活用したデータ分析においては、アウトプットに透明性がなければなりません。データサイエンティストは、プライバシーの専門家と協力して、AIを安全で信頼性が高くプライバシーに配慮したテクノロジーとするために、どのような要件を組み込むべきかを判断する必要があります。
AIに関する規制の状況
- AI活用に関する原則がG20で採択されたことを受けて、AIのリスク管理と規制は大きく進展している。
- AIに関する規制は、最終的にはGDPR(EU一般データ保護規則)がプライバシーに与えたのと同じくらい大きな影響を及ぼすことが予想されるため、企業の適切な対応が求められる。
スマートな世界を守る
ほぼすべての産業において、組織はネットワークに対応したサービスの開発と、それを支えるデバイスの管理に重点を置くという、プロダクトマインドセットにシフトしています。
スマートデバイス関連のリスク対策
- セキュリティは、CIAS(機密性、完全性、可用性、安全性)のフレームワークに当てはめて考える。
- スマートデバイスのライフサイクルにまたがる4つの主要な領域(デザインの実装からリリースまでの製品開発、拡大するサプライチェーンの管理、メンテナンスと継続的なソフトウェアアップデート、他の企業や個人の消費者であるエンドユーザー)からリスクを検討する。
- 組織のサイバーセキュリティプログラムは、固定的でなく、スマートデバイスのライフサイクルを考慮して管理されていることを、現在および将来の顧客、そして幅広い市場に知ってもらう。
俊敏な敵に対抗する
最初の侵入からランサムウェアを発動させるまでの時間が短くなっているほか、悪質な攻撃者が、自動化されたツールでシステムに侵入することが増えています。セキュリティ関連のオペレーションを最適化し、優先すべきサービスを迅速に復旧できるような仕組みを構築することで、顧客企業、顧客、パートナーへの影響を軽減する必要があります。
セキュリティ運用戦略のポイント
- 「どのように攻撃者が侵入してきたのか」ではなく、「どういった情報を得たのか、(漏洩したのは)重要なプロジェクトの情報だったのか、脅される原因になるような情報だったのか」を早くつかむ。
- より高度なテクノロジーを活用し、関連データをまとめ、アラートを管理する利用可能なツールを信頼するとともに、人間のアナリスト、高度な機械学習(ML)、ロボティックプロセスオートメーション(RPA)を適切に連携することで、セキュリティオペレーションセンター(SOC)を効果的に運用する。
- 人材の減少と定着といった課題に対して、SOC 要員の長期的なキャリアパスとモデルを作成し、サイバーに関する技術的専門知識の活用と維持、人材の定着を図る。
必要に応じたレジリエンス
サイバーインシデントの影響と復旧にかかる時間が長期化する可能性があることに対して、組織の認識が不足しています。規制当局は、実際に起こり得る可能性が高いシナリオに注目し、企業、特にエネルギー、金融、ヘルスケアなど戦略的に重要な業界に対し、復旧のためのレジリエンスを確保するよう求めています。
組織のレジリエンス向上におけるCISOの重要な責務
- コミュニケーターとして、サイバー攻撃がビジネスに与える潜在的な影響とサイバーセキュリティを最優先することの価値を企業全体に明示する。
- 復旧において、理性の代弁者となり、最低限のビジネスプロセス、つまり、従業員に給与を支払い、業務を再開できるようにすることについて現実的に話す。
- 「サプライヤーなどの重要なパートナーが関連規制に準拠しているか」や、「自社が欧州サイバーレジリエンス法に準拠しているかが顧客や投資家に分かりやすいか」など組織全体に対してではなく、多方面への影響を考慮する。
2023年のサイバー戦略
サイバーインシデントが従業員、顧客、パートナーに与える影響を軽減し、セキュリティ計画が事業目標を円滑に実現し、迅速にインシデントから復旧するため、CISOが検討すべき具体的なステップのリストは以下です。
人材 |
|
プロセス |
|
データ/技術 |
|
規制 |
|
※本レポートの全文は、下記のPDFよりご覧いただけます。
サイバーセキュリティ主要課題2023
本レポートに関連する参考記事を紹介します。あわせてご一読いただければ幸いです。
- サイバートラストインサイト2022
- グローバルテクノロジーレポート2022
- グローバルCEO調査2022
