CEOおよび取締役会のためのサイバーセキュリティ
この投稿はMedium.comに掲載されたものの転載です。
私はサイバーセキュリティがCEOや取締役会にとってどれほど困難な課題であるかを良く理解しています。
私は1988年に設立されたサイバーセキュリティ企業であるエフセキュアのCEOを18年間にわたり務めてきました。エフセキュアは企業向けのテクノロジーとサービスを提供するヨーロッパ最大のサイバーセキュリティ企業に成長しました。私はまた、2012年からノキアの会長を務め、グローバルテクノロジー企業として自社や顧客を保護し、すべての製品やソリューションにセキュリティを組み込もうと懸命に対応する姿を目の当たりにしてきました。
サイバーセキュリティは、絶え間なく変貌する極めて技術的な分野であることから、CEOが専門家になることが叶わないケースが大多数を占めていますが、私はCEOが専門家になるべきでもないと考えています。残念ことに今日のサイバーセキュリティは、権限をすべて移譲すれば済む問題でもないという点があります。また、企業が自社とその顧客を守る能力についての説明責任をCEOが果たすべきという外部からの圧力が高まっています。取締役会は状況報告を求めています。そして、最も重要なこととして、サイバーセキュリティが必然的にCEOの責任問題に至る程の重大なリスクを含んでいるという点です。
それでは、CEOの役割とは何でしょうか? 問題を途方もない高さから俯瞰することと、底が見えないほど技術的な詳細に埋もれてしまうこととの中間に落としどころを見つけることは可能なのでしょうか。CEOとして、セキュリティを十分に理解し、自社を導き前進させることができるようにするためには、どのように準備すべきなのでしょうか?
CEOと同様に多くの質問に対処する必要がある取締役会にとって、この課題はさらに困難さを伴います。サイバーセキュリティの対応に割り当てられる時間とその頻度はどの程度なのでしょうか? CEOに尋ねるべき適切な質問は何なのでしょうか? 会社のセキュリティ能力がどのレベルにあるのか、そして本来どのレベルにあるべきなのかを、どうすれば知ることができるのでしょうか。そして、進捗状況はどのように評価されるべきでしょうか?
これらの答えは会社によって異なるのは当然です。しかし、すべてのCEOと取締役会が実践することができる実用的で常識的なステップは存在します。例えば大手銀行や軍需産業関連企業を経営しているとしたら、以下のリストはすべて日常的に実践している見覚えのある項目ばかりだと思います。一方で、従来型の産業界で事業経営しているのであれば、考えもしなかったことがいくつかあるかもしれません。
1. 最重要システムの特定。CEOは、自社の存続がどのITシステムに依存しているかを知っておくことが重要です。システムの重要性を、①少なくとも売上創出(システム障害が売上に与える影響)、②ブランド(たとえば顧客の機密情報が漏洩したり、顧客の業務が中断された場合に、システムの公共への浸透度がブランドに与える影響)、そして③将来の競争力(研究開発計画、コアソフトウェア資産または戦略計画の喪失)の3つの観点から評価する必要があります。
今日では多くの企業が自社の製品やサービスにセンサー機能を組み込んでいます。一部の従来型の産業界にとって、これはアナログからデジタル世界への大きな変化を意味します。つまり、製造する製品にはコンピュータが埋め込まれたことで、ハッキングされる可能性がでてきました。ソリューションに組込まれたセンサーを介して顧客や社内の重要なシステムが脅威にさらされないように、システムを安全な方法で設計、開発する能力を新たに身に着ける必要があります。
したがって、最重要システムを特定する際は、自社のITシステムだけに限定して調べることはできません。製造制御プロセスと接続機能を装備したすべてのソリューションを含める必要があります。また、自社のサプライチェーンに接続しているすべてのシステムも検討範囲に加わります。あなたの会社が顧客のサイバー防御にとっての弱点になる可能性があるのと同様に、サプライヤーがトロイの木馬となり、攻撃者があなたの会社のシステムに侵入する可能性があります。
2. これらの重要システムへ依存していることの影響と、攻撃者からの大規模な攻撃を受けた場合に被る可能性のある最大の被害について理解し、話し合います。
たとえば、イントラネット、Outlook、VoIP通信がすべて途絶えてしまうようなシナリオを検討している企業はほとんどありません。従業員の電話番号を記憶することをやめて久しい現代において、Eメールにアクセスできない状況に陥ったら、どのようにして連絡を取りますか。私はここ数年来、まさにこのような状況を経験した大企業を数社知っています。彼らの復旧作業が遅れた原因は、最初に主要人物と連絡をとることができなかったことによるものでした。
3. 自社を格好の標的と捉える攻撃者の種類を特定します。これにより、どのような種類の攻撃ベクターが最も使用される可能性が高いのか、またその目的は何かを知ることができます。それは防御計画の策定に大いに役立ちます。
4. 信頼のおけるサイバーセキュリティ会社に依頼して、最重要システムに対するレッドチーム演習を実施します。CIOには、事前に攻撃演習について伝えないでください。これにより、自社のサイバーセキュリティチームが持つ真の能力が判明します。前提として、レッドチームによる攻撃が成功すると想定します(エフセキュアは過去数年間に何百ものレッドチーム演習を実施してきましたが、現在まで100%の成功率を維持しています)。
レッドチーム演習の結果を評価する際には、次の点を確認してください。
a. 最重要システムに侵入されたかどうか(防止能力が攻撃を予防するのに十分であったかどうか)。
b. レッドチームの攻撃によって、最重要システムへ侵入された場合、これが友好的な攻撃者による攻撃であることを幸運に思ってください。そして、悪意のある攻撃者だった場合に被るであろう最悪の被害を想像してください。長期的な開発プログラムを開始するだけでなく、本物の攻撃が同じ方法で突破するのを防ぐために、レッドチームが標的にしたセキュリティホールを直ちに塞いでください。
c. サイバーセキュリティチームがその攻撃に気づいたかどうか、そして検出能力が発生した事象を識別するのに十分だったかどうか。
d. 攻撃に気づいた時、サイバーセキュリティチームは何をしたのか? やるべきことと、やってはいけないことがあります。これらの中には理解しづらいものもあります。たとえば、侵入されたデバイスをネットワークから切り離してしまうと、実際に何が起こっているのかを理解して適切な行動を取る準備ができる前に、こちらが攻撃に気づいたことを攻撃者に知られてしまうことになります。攻撃者があなたに知らせるようなことはなかったはずです。いつ攻撃に気づきたいと思いますか? CEOは、いつ会長や取締役会全体に通知することが期待されていますか。
5. もちろん、レッドチーム演習は最初の一歩に過ぎません。サイバーセキュリティを筋肉だと考えましょう。レッドチームと一緒になってすばやく収縮させると、その能力に関して貴重な限定された情報が得られます。しかし、以下のようにやるべきことはまだ山ほどあります。
a. 防御能力の成熟度レベルを測るために、かなり簡単な技術的質問をいくつかします。
b. 脅威レベルに比例したサイバーセキュリティ防御の目標レベルを設定します。
c. 能力開発を始めます。
d. 筋肉を増強するために継続的に運動して進捗状況を測定します。
e. プロセスに従うためのスコアカードを作成します。
f. そのスコアカードを使って取締役会に報告します。
6. 従業員への意識啓発を図ります。ソーシャルエンジニアリングは、プロの攻撃者にとって最も効果的なツールのひとつです。特に、主要システムへのアクセスレベルが高い従業員は、ソーシャルエンジニアリングでの悪だくみを識別するための訓練を受ける必要があります。たとえば、フィッシングメールを検出するためにすべての従業員をトレーニングすることもできますが、これによって攻撃を防ぐことはできません。
7. 最後に、これらが機能するためには、「批判しない文化(no blame culture)」を醸成しなければなりません。それがなければ、真に改善する見込みはありません。絶え間ない改善と学習が行われるためには、間違い、弱点、および失敗などがあってもすぐに報告できる雰囲気が必要です。
以上のことから、サイバーセキュリティを始める方法についてのアイデアがいくつか得られれば幸いです。しかし、いったん始めたら止めないことも重要です。関係者全員が学び続けなければなりません。そしてそれは外部の専門家を活用することを含みます。
私の次回の記事では、会社のサイバーセキュリティ成熟度を把握するのに役立つ簡単な質問をいくつかご紹介します。
カテゴリ