Talking Cyber Security with the Board of Directors

取締役会のメンバーにサイバーセキュリティについて伝えるべきこと

Web Security Products VP、Josh Shaul へのインタビュー

取締役会のメンバーにとって今日のサイバーセキュリティについて知っておくべき基本知識は何でしょうか?

取締役会では高まるサイバーセキュリティの重要性を認識しています。関心と懸念は高く、議題にもなっています。しかし、メンバーの技術的な背景が大きく異なり、皆が問題を同じように理解しているわけではありません。ですから、CIO や CSO がエンタープライズ組織のサイバーセキュリティ体制について報告をするときは、いくらか教育的な内容を含め、一定のレベルで話ができるようにしています。

第 1 に、取締役会のメンバーは脅威の状況を理解し、それがどう変化しているかを知る必要があります。これには攻撃と防御の種類に関する基本知識が含まれます。DDoS、マルウェア、ウェブ攻撃など、異なる攻撃には異なる防御が必要であると理解する必要があります。セキュリティは複雑な問題です。

第 2 に、企業がオンライン環境にあり、場合によっては世界中の顧客やパートナーと密接に接続された状況では、従来型の境界ファイアウォールによる防御は不十分であることを知る必要があります。境界には開いた部分が必要ですが、ネットワークやアプリケーションを顧客に開くことで攻撃にもオープンな状態になってしまいます。企業は非常に分散して展開しているので、セキュリティも分散が必要です。

第 3 に、完全に隙のない防御は存在しないと認識することです。「エンタープライズ組織が安全に守られているか?」という問いは、「はい」か「いいえ」では答えられません。論ずべき問題は、業務が問題なく行えるように安全に保護されているか、どの程度のリスクを受け入れられるか、リスクレベルの軽減に投資してもよいと思う金額はどのくらいか、などです。

第 4 に、成功は局所的であると知ることです。大規模なセキュリティ侵害に関するニュースを見ると、対策を怠ることの代償の大きさを考えさせられますし、他社の事例から学ぶべき教訓が分かります。しかし、そうしたメディアの報道があるにしても、サイバーセキュリティは、組織に固有の脅威や脆弱性に重点を置かなければなりません。

本来、CIO や CSO がローカルなセキュリティ体制について取締役会に伝えたいと思うことはなんでしょうか。

議題に上げるべきテーマは、防御、お客様、レスポンスの 3 つです。

防御。Akamai の防御は効果的であり、脅威の状況の変化に対応します。デジタル資産やネットワークへの可視性を持っています。サイバー攻撃の次の犠牲者とならないように、身を守るためのあらゆる努力をしています。境界防御に加え、Akamai はクラウドのグローバルシールドによりあらゆる場所で資産とコミュニケーションを保護しています。組織内の通信も監視し、内部の脅威に対しても外部に対するのと同様の厳格な防御を行っています。とても重要なことですが、定期的に「実戦」形式で防御をテスト、検証しています。エキスパートハッカーにハッキングを試みてもらい、脆弱な箇所があればただちに修正します。

お客様。私たちは継続的にお客様のアクセスを監視することで、快適に(そして安全に)当社のインフラを利用していただきたいと考えています。お客様の通常のオンライン行動を理解し、異常なアクセスがないか注意を払っています。Akamai のシステムを利用しているのが、偽装したボットではなく、間違いなくお客様であることを確認しています。また、犯罪者がお客様の資格情報や個人情報を盗んだことに気付いた場合は、お客様にお知らせしています。このように、お客様のプライバシーとデータを守り、お客様の信頼を維持しています。

レスポンス。私たちは最悪の状況に対しても備えがあります。チームはそのための訓練を受け、攻撃や侵害が発生した場合の対処方法を知っています。経営幹部や法務、コミュニケーション担当を含め、誰に連絡をして協力するかなどの対応プランを設けています。どのように証拠を集め、フォレンジック調査を行うかを理解し、実戦的なインシデントレスポンスを演習しています。インシデントレスポンスプロセスを実行できる体制を整え、演習を繰り返すことで、不手際が起こらないようにしています。

要約すると、可能な限りベストの防御でお客様を守り、予期しない事態にも備えています。ところで、「本来」とおっしゃいましたが、正直なところ、現在これをすべて実現できている組織は多くはありません。

その理由は?何が原因でしょうか?

単純に、多くはもっと完璧なセキュリティプログラムのための資金がないことが理由です。しかし、それは表面的なものです。詳しく見ると、問題はコンテキストと方向性の欠如にあります。どの程度の安全が必要であるか、あるいはどの程度のリスクなら受け入れてもよいか、そのレベルまでリスクを軽減するのに投資してもよいと思う金額はどのくらいか。これらのことを多くの組織は判断することが困難な状況にあります。

これらの障害を克服するために、私たちはエンタープライズ組織のリスク選好を正式な方針として示すことをお勧めしています。たとえば、財務省内の政府機関におけるテクノロジーに関するリスクの許容度は全般に非常に低く、次のように分類されます。
  • システムへの不正アクセスのリスクは許容されず、可能な限り厳格な管理が要求される。
  • 業務の耐障害性に関するリスクの許容度が低く、システムが停止した場合にただちに復元できることが求められる。
  • ユーザーの要求に応える革新的技術の利用についてのリスク選好は中程度であり、制限の範囲で試験することは可能である。
年中無休で世界に市場を広げようとする営利事業であれば、リスク選好は大きく異なるでしょう。重要なのは、状況を把握し、効果的な境界を設けて、それに応じて調整することです。サイバーセキュリティと同様に重要なこととして、リスク選好の調整と承認をエグゼクティブチーム全体で行い、取締役会がその決定を理解していることを確認する必要があります。

指針となる原則を提示することは、強力な管理手法です。境界を明確にし、目標と行動を優先づけて、決定に対する根拠を提供することができます。取締役会として原則に定めた指針に合意ができると、利害関係者の同意も得やすく、細部に関して妥協を得やすくなります。行動を管理して戦術的な決定をする者(ここでは CIO と CSO)は、より確かな根拠を基に、自身の行動とその根拠を説明しやすくなります。

リスク選好の決め方についてもう少しお聞かせください。

セキュリティ慣行に関する業界基準であれ、もっと一般的なサイバーセキュリティの成熟度モデルであれ、これは何らかの外的な基準点を設けるのに役立ちます。信頼できる第三者にエンタープライズのセキュリティ対応能力を評価してもらえますし、時には同業他社や競合を相手にざっと予算を見積もることができます。必要なアクションを確認して根拠を示すことができるので、特に業界で最も攻撃に脆弱な存在となるのを避けることができます。

成熟度モデルは防御体制や運用と管理のプロセスを機能レベルにまとめ、一般的に 5 つぐらいに分類します。組織が評価を行って、「現状はレベル 2 で低すぎる — 業務への影響が大きい」と判断したとします。レベル 3 に達するにはどんな追加機能が必要かが、成熟度モデルによって分かります。リスク選好方針を表すことで、成熟度レベルの目標に向けて進むことができます。

リスク選好方針をローカルのシナリオや現実性のチェックにより試すことは有効な手段です。たとえば、最初にオンラインのすべての顧客サービスを例外なく年中無休で行う必要があると考えたとします。しかし、大規模な攻撃を受けた場合に、主要システムを停止して、サービス維持のためにユーザーの 30% をロックアウトしたいと考えるでしょうか?

別の例として、エンタープライズネットワークへの不正アクセスを絶対に許容しない場合があります。しかしこれは、最も強固に守られた政府のセキュリティ機関であっても、不可能な目標です。ほとんどの組織では、このようなアクセスはすでに起きていて、今現在も起きています。ここでの課題は、侵入者を見つけて無効化することです。ですから、リスク選好についての現実的な問いは次のようになります。識別して封じ込める必要が最も大きいのはどんな種類の侵入か?

このようなシナリオをあらかじめ考慮し、対応プランに組み入れる必要があります。シナリオのプランを作るにあたり、自ら攻撃者の立場になって、最も脆弱な資産は何かを考えるのです。できることなら、攻撃を受けて「不確実な状況」の中で重要な決定をしたいとは誰も思わないでしょう。

リスク選好方針を設定して試験するプロセスは反復的なものです。多くはコストを中心に考え、セキュリティの目標達成に必要な現実の要素に影響されます。「X レベルのセキュリティが必要だ」「それには 3,000 万ドルかかる」「いいだろう、それなら X に届かなくても許容できる」といった具合です。攻撃を受ける中で、より強固なセキュリティの必要性を認識するか、現状のリスクプロファイルでは不十分である現実を認識して、リスク選好方針を修正することも必要になります。

最後に、最も重要なことですが、リスク選好方針は汎用的なものや理論上のものにはできません。これは自社に合わせて具体的なものでなければならず、最も困難なものを含め、決定とトレードオフをするための手引きにならなければなりません。

コンピューティング環境の可視性について言及されましたが、これは効果的なサイバーセキュリティの基盤であるべきですね。

間違いなくそうです。資産、接続環境、ネットワーク活動、脆弱性に対してより完全な可視性が持てれば、環境全体を保護する能力が高まります。しかし、それほど簡単ことではありません。

包括的なセキュリティのためには、まずはエンタープライズネットワーク、システム、データの正確なインベントリが必要ですが、これはいくつかの面で困難な課題です。一般的な例として、機密データの場所があります。多くの組織は、そのすべての保管場所を把握していません。もう一つが、組織のネットワークの表層域です。コンピューター環境につながるすべての接続、パートナー、URL です。長期間オンラインを維持する大規模なエンタープライズ組織では、完全なインベントリを作成するのは非常に困難です。

適切なインベントリがあったとしても、いくつかの理由で環境に対する可視性は不完全である可能性があります。
  • どこで何を探したらよいか分からない。この場合は、専門家の手引きが役に立ちます。
  • どうやって探すのか分からない。この場合は、インフラストラクチャを監視するテクノロジーツールも利用できます。
  • 何が見つかるか不安があるので探したくない…
これは微妙な領域で、おそらくはセキュリティコミュニティの「不都合な真実」と言えます。組織には、光を当てたくない暗がりが存在することがあります。明らかになった結果、修正を余儀なくされ、困難で費用がかかるためです。問題を知らずに済まそうと思うことがあるかもしれません。しかし、それでは困ります。

問題を知らずにおくのは良いことではありません。知らなかったというのは、侵害が発生した後の言い訳になりません。しかし、問題を見つけて直さずにおいても構わない場合もあります。決め手となるのは優先度です。すべての問題を修正できる費用、スタッフ、その他のリソースを十分に用意できる組織はありません。防御能力、コスト、ビジネスリスクの間には避けられない緊張が存在します。そこで話はリスク選好に戻ります。完全な可視性と知識を持つことで、最大のリスクをもたらす脆弱性の修正に集中できます。そうすれば、リスク選好の範囲で不安なく業務が行えます。

最後に、CIO と CSO にとってのポイントをまとめていただけますか?

第 1 に、取締役会のメンバーとは、技術的な防御体制の状態や攻撃のリスクにとどまらずに話をすることです。また、攻撃を受けた場合のお客様の保護や、セキュリティ組織とインシデントレスポンス手順の備えについても話をしてください。これらの題目が一つにまとまってデューデリジェンスが徹底されます。

第 2 に取締役会のメンバーは、エンタープライズ環境が完全にセキュアには決してならないことを理解しなければなりません。しかし、明確に決められた許容可能なリスク選好の範囲であれば業務を遂行できます。大まかに言えば、CEO や取締役は利害関係者である顧客、従業員、規制当局、株主にセキュリティ戦略とリスク選好を知らせることが必要です。

第 3 に、セキュリティリーダーは往々にして、責務を果たすために必要なリソースを得るのに苦慮します。多くは、セキュリティプログラムのビジネスバリューや必要性について財務担当者を説得させるのが困難と感じています。サイバーセキュリティとリスク選好については、エグゼクティブチームや取締役と定期的にコミュニケーションを持つのが効果的です。リソースを活用する鍵は、同業他社との比較にあるかもしれません。しかし、現実には、リスクを考慮したセキュリティニーズにセキュリティリーダーが達成したい事項がすべて含まれるとは限らないということを覚えておく必要があります。

そして第 4 に、セキュリティ対応能力とリスク選好が共に明確になれば、サイバーセキュリティプログラムとプロセスを設けることで、行動に向けて境界線を設定できるようになります。セキュリティは、単に「してはならない」ということではなく、「オンラインで行動し革新ができる自由がある」ということでもあります。サイバーセキュリティスタッフは、早い段階から新しいビジネスイニシアティブの概念と発展に関与する必要があります。サイバーセキュリティは、ビジネスの前進を支援しつつ、敵の前進を阻止するものでなければなりません。

関連する CIO のコンテンツ