Identifying Hazards to Better Prepare for Cyberattacks

リスク要因を特定し、サイバー攻撃対策を強化する

Bob Violino

最高情報責任者(CIO)は、広範な防御戦略、すなわち多大な損失を招くセキュリティ侵害につながりかねない社内のリスク要因に重点を置いた、より効果的なセキュリティアプローチを利用していないならば、これを検討しなければなりません。

多大な損失とはどの程度のものでしょうか。Kaspersky Lab の 2017 年のレポートによると、分散型サービス妨害(DDoS)攻撃からの回復には、金融機関の場合で平均 120 万ドル、他のセクターの企業の場合で 952,000 ドルも要します。

Identifying Hazards to Better
組織は広範なアプローチをとることで、現在抱えているリスク要因を検討、分析し、予期しない脅威を防ぐことができます。

世界に展開しているクラウド配信プラットフォームプロバイダー、Akamai Technologies などの一部の企業は、広範な防御戦略をサイバーセキュリティプログラムのキーコンポーネントに据えています。

従来、サイバーディフェンスは法規制や業界標準の要件をベースとしていました。その結果、企業が実際に抱えるセキュリティ上の脅威や脆弱性とはかけ離れた防御戦略が講じられていました。

「そのようなアプローチをとると、セキュリティ情勢の将来を考えたり、変化を予測するといったことをやらなくなります」と Akamai の Chief Security Officer、Andy Ellis は述べています。

重要なのは、従来の戦略では最新のランサムウェアや DDoS 攻撃の脅威に対抗できないということです。そのどちらもが、適切な防御戦略を備えていない企業を活動不能に陥れる可能性があります。

防御戦略の拡大

組織は広範なアプローチをとることで、現在抱えているリスク要因を検討、分析し、予期しない脅威を防ぐことができます。多くの場合、リスク要因は、企業の種類、オンラインでの営業手法、所在地のほか、従業員やビジネスパートナー、顧客に許可しているアクセスなどの不定要素に基づいています。

広範な防御戦略をとっている企業は、新しいウェブアプリケーションを立ち上げる前に、まずその先に待ち構えている可能性のあるリスク要因を洗い出します。

「リスク要因の例としては、オンラインのアプリケーションデータベースが挙げられます」と Ellis は言います。「一度立ち止まって、“これを行うことで何か容認できない損失を被ることにならないか”と問いかけてみる必要があります。」

アプリケーションによって、たとえばデータベースに保管している顧客の個人情報の漏えいなど、容認できない損失を被るリスクがある場合、そのリスクを緩和するまでプロジェクトは先に進みません。

このようにセキュリティ対策を行うことで、セキュリティ担当役員はセキュリティの重要性を経営者に売り込みやすくなります。CIO は事業部門の役員に新しく利用できる防御戦略について伝えるのではなく、セキュリティが突破された場合の結末を詳細に説明できるのです。

「企業にウェブアプリケーションファイアウォールを売り込むのは難しいかもしれませんが、公表したくないデータを保護することの重要性を売り込むのは簡単です」と Ellis は言います。「このアプローチをとることで、リスク要因を緩和するために必要なツールを確保することができます。重要なのは、リスク要因にフォーカスすることです。」

セキュリティ担当役員や CIO の職務は、あらゆるリスク要因に対処することです。

リスク要因をすべて洗い出すことで「未知の敵に対して防御できる可能性も高まります」と Ellis は述べています。

SQL インジェクションであれ、いまだ想像もされていないような攻撃であれ、脅威の種類にかかわらず、企業はリソースの性質やその所在地によって、脅威の影響を受けやすくなります。

関係の構築

広範な防御戦略は、セキュリティ構想のための資金調達に役立ちます。しかし、課題は資金調達ではありません。

「ビジネスパートナーの共感を得ること。これが厄介なのです」と Ellis は語ります。

ビジネスパートナーに、そのビジネスのリスクについて説明しなければなりません。「そのため、ビジネスパートナーと良好な関係を築く必要があり、これが難しい場合があるのです」と Ellis は述べています。

容認できない損失とは何かを説明し、広範な防御戦略に移行する過程をリードするのは CIO やセキュリティ担当役員の役目です。

Ellis によると、広範な防御戦略を構築するというアイデアは、多くの企業にとってまだ馴染みのないものですが、金融サービスセクターの一部の企業ではしばらくの間、このアイデアが採用されていたことがあります。

このコンセプトは企業の種類や規模を問わず有用ですが、比較的小規模な企業は社内リソースが足りないため、最初は手助けが必要な場合もあります。この手助けは、マネージド・セキュリティ・サービス(MSS)プロバイダーから得られます。

Ellis によると、組織はこのアプローチをとることで、実際に抱えているリスクに基づき、守るべきものにより密接に関連したセキュリティプログラムを構築することができます。

Bob Violino 氏は、クラウドコンピューティング、サイバーセキュリティ、ビッグデータなどの分野を専門とする、ビジネスおよびテクノロジー分野のフリーランス・ライターです。

関連する CIO のコンテンツ