ガートナーが毎年開催するグローバルイベント、セキュリティ&リスク・マネジメントサミットは、CISO、CIOやセキュリティ専門家にとって見逃せない大切なイベントです。 9月9日から11日の3日間にわたりロンドンで開催されたこのイベントでは、セキュリティ計画・戦略の強化に関するセッションが集中的に実施されたほか、最新のセキュリティ市場動向と利用可能なソリューションを理解する場として活用されました。
ヨーロッパを中心に活動しているエフセキュアのCounterceptチームもこのイベントに参加し、企業担当者や専門家とセキュリティ市場に関する最新の洞察を共有しました。また、『Rethinking Response 「対応」の時代』 (侵害によるビジネスへの影響が及ぶ前に、攻撃を検知・対応し、影響を軽減させるための当社のマニフェスト)について行った講演に関しては、健全な議論を巻き起こし、好意的なフィードバックを得ることができました。
会期中、私たちは多くのエンドユーザ企業と、彼らの課題やお互いの考え方の違いについて熱心に議論することができ、非常に得難い時間を共有することができました。
私たちのチームは、イベントで議論された多くの話題の中から最近注目されているテーマを選択しました。それらは、セキュリティ専門家が社内で直面する課題、脅威のランドスケープが与えている衝撃の大きさ、およびCISOが組織のセキュリティ態勢を改善するためにセキュリティパートナーの支援を得る方法とパートナーのキャリアについての考察などです。このブログでは、ガートナーのロンドンでのイベントでの重要な6つのポイントについてご紹介します。
1. サービスの選択肢の多さが、セキュリティ専門家をも困惑させる
依然として多くのサービスプロバイダが、MSSP(マネージドセキュリティサービスプロバイダ)、MDR(マネージド検知/対応)、およびマネージドEDR(エンドポイントでの検出/対応)の違いについて混同しています。これは、競合がひしめく市場の状況を考えると当然のことかもしれません。エフセキュアのブースでは、セキュリティサービスの適切な導入基準の設定に関して、有意義な議論をすることができました。 企業は、それぞれの企業が考えるビジネスニーズに従って、直面する特定の脅威に対応するため、自社でサービスを構築するのか購入するのかを選択すべきです。
しかし、導入基準を設定するだけでもかなり複雑なプロセスになるため、このプロセスをパートナー企業に依頼することを躊躇すべきではありません。あなたの企業のセキュリティ戦略を全般的に強化する方法を決定する際、あなたの会社を支援しないパートナーは、あなたにとって適切なパートナーとは言えません。
2. CISO 権限強化は数の強さによってもたらされる
サイバーセキュリティ戦略の広範囲に及ぶ側面と微妙な側面の両方で賛同を得なければならない状況下で、多くのCISOは、経営陣のメンバー間に共感を呼ぶ方法でメッセージを伝えようと努力しています。CISOの発言に対する重要性が高まってきたことにより、CISOが取締役会メンバーになることが望まれる中、リスク委員会や役員会において、ビジネスケースが報告される際に、上層部との間に埋めなければならないきギャップが存在することが確認されています。CIOは、取締役会レベルでサイバーセキュリティの行動計画を立案する仕事を適切にこなす必要があり、サイバー戦略を(ビジネス主導の方向で)進めるためには、CISOに対してしっかりと舵取りをしなければなりません。一方、取締役会の代表者は、サイバー脅威を完全に理解して評価するために、より幅広いバックグラウンドを持つ人物で構成されるべきです。
この局面において、プロセスを推進しサポートするためのメッセージとコンテキストを提供するのがセキュリティパートナーの重要な役割になります。
3. 人を技術より優先させる
私も含めて、通常は誰もが最新で最高の技術を求めています。しかし、私の役割が何であれ、このアプローチはサイバーセキュリティにおいては常に適用すべきことではありません。このイベントで、私は多くのCISOと話をしましたが、彼らは課題に対して技術を優先して考えていました。たとえば、AIやデータとログの集約とオーケストレーションを導入することを決定し、それを通知、推進、バックアップすることを緊急の課題として見据えていました。
私は幾度となくこのアプローチを見てきましたが、ほとんどの場合が失敗に終わっています。それは、テクノロジーは、それを使用している人と同じレベルにしか効果を発揮できないからです。多くの場合は、新技術を実装し、対応は既存のセキュリティチームが抱えている作業の山に追加すればそれで済むというわけではありません。技術への投資は、より広範な運用のコンテキストの中で考える必要があります。つまり、技術を実行する人々や利用する人々こそが最初に考慮すべき要素なのです。たとえば、その技術はセキュリティチームがより優れた防御能力を提供するうえで、どのように貢献するか?24時間365日、攻撃を検知し対応するメンバーの能力がその技術により向上するか? その技術は既存の役割と責任を補完できるのか、それとも妨げるのか?さらには、会社の広範なビジネス目標に対して、短期的および長期的に適合しているか?などです。
4. 攻撃者の潜伏を許す – 「Rethinking Response」戦略
『Rethinking Response 「対応」の時代』に関する私の講演では、脅威のハンティングの進化と、検知と対応に対するベンダーに依存しない方法論の概要を説明しました。その後、私のチームは以下の方法論の一つの側面について参加者と多くの会話を交わしました。
侵害の範囲が判明するまで、攻撃者の侵害後もネットワーク上で潜伏を許す。
講演直後に何名かのCISOが私に近づき、直ちに攻撃を追い出すリスクと、対応におけるより考慮されたアプローチとのバランスをとるように経営陣を説得することは、難しい課題だと述べていました。この考慮されたアプローチが最終的に攻撃者の目的と目標を理解する上でより良い結果をもたらすことになります。これにより最終的には、たとえば標的にされた資産がさらに確実に保護されるようになり、侵害する際に使用された手法が、次回は成功できなくすることができます。
5. 効果的な「検知と対応」機能の導入
企業での「検知と対応」機能の構築と維持に関する最も一般的な障壁は、やはりサイバーセキュリティスキルの不足です。セキュリティ専門家向けにランチを開催し、スキル不足に対処するための当社の経験とアドバイスを共有しました。このセッションから得た重要な点は次のとおりです。
- 重要なプロジェクトと機能に集中し、残りをアウトソーシングすることにより、限られた社内リソースを効率的に活用する。
- 全社的にサイバー認識を高め、強力なセキュリティ文化を醸成することにより、全員がサイバー防御の一役を担う。
- 多様性を考慮し、従来とは異なる思考の志願者を惹きつける方法を考える。
6. すべてはMaersk社から学ぶことができる
NotPetya攻撃は、この業界が経験した最も破壊的なサイバー攻撃の1つであり、統合ロジスティックスの重鎮企業であるMaerskがまさにその渦中にありました。Maerskは、この事件と回復への同社の大胆なアプローチについて実に感動的な講演をしています。サプライヤと顧客を動員して、数日および数週間にわたってビジネスを再構築するために協業した透明性の高い手法は、私たち全員にとって素晴らしいケーススタディとなりました。これはいつか映画になると確信していますし、私は最前列で観るでしょう。
カテゴリ