サイバーレジリエンスを向上させるガバナンスを打ち出す

学習の目的

この単元を完了すると、次のことができるようになります。

• 取締役がサイバーリスクに対するガバナンスを定める際に指針となる OG 業界の 6 つの原則を挙げる。
  
• 石油・ガス (OG) セクターのサイバーセキュリティの包括的なガバナンスモデルを確立する方法を説明する。
  
• セキュリティバイデザイン/レジリエンスバイデザインの文化を推進する際に検討すべき質問事項を挙げる。
  
• 経営陣が組織や広範なエコシステムに対するサイバーリスクを検討すべき理由を説明する。
  

石油・ガス業界のサイバーレジリエンスの原則

次の 6 つの原則は、サイバーレジリエンスの重要な課題への対処を目的に、世界経済フォーラム (WEF) のサイバーレジリエンスの一般原則を石油・ガス (OG) 業界向けに補完したものです。 

• OG1.サイバーレジリエンスのガバナンス
  
• OG2.レジリエンスバイデザイン
  
• OG3.サイバーレジリエンスに対する企業責任
  
• OG4.リスク管理の包括的なアプローチ
  
• OG5.エコシステム全体のコラボレーション
  
• OG6.エコシステム全体のサイバーレジリエンス計画
  

OG 業界固有の業務に対応した上記の原則は、担当者がサイバーセキュリティを導入する際に役立ちます。では、詳しく見ていきましょう。

原則 OG1: サイバーレジリエンスのガバナンス

サイバーセキュリティの包括的なガバナンスモデルを確立する場合のベストプラクティスは、まず組織がどのデータを保護するのかを見極め、データの分類やビジネスプロセスの重要度などの要因を考慮することです。この準備が整ったら、次に明確なロール、責任、ミッション、ビジョンを定めたサイバーセキュリティのガバナンスフレームワークを確定します。 

OG 業界の組織の取締役会は、経営陣に対し、サイバーセキュリティの包括的なガバナンスモデルの確立を求めるものとします。

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• このガバナンスモデルにより、情報テクノロジー (IT)、オペレーショナルテクノロジー (OT)、物理的セキュリティの職務間にどのような関係が構築されるか? この関係をサポートする効率的なメカニズムとして、どのようなものを配備するか?
  
• IT、OT、物理的セキュリティの職務全体にサイバーレジリエンスのどのようなロールや責任が確立され、統合され、遂行されているか?
  
• オペレーション環境や安全環境をセキュリティ保護するためのベストプラクティスに対し、どのようなインセンティブが用意されているか?
  
• サイバーレジリエンスのガバナンスモデルをどのような方法で見直すか?
  

サイバーレジリエンスのガバナンスを導入する

サイバーレジリエンスのガバナンスを導入する場合の推奨事項は次のとおりです。

• IT、OT、物理的セキュリティ、安全衛生環境、デジタルトランスフォーメーションに対するサイバーレジリエンスを管理し監視することが可能な包括的なガバナンスモデルを構築する。
  
• サイバーセキュリティの業務を遂行するための経験とリソースを備え、説明責任を担う役員や専門分野のエキスパートに適切なレベルの権限や指導権を与える。
  
• サイバーレジリエンス計画の実施や予算について、さまざまなビジネスユニットのリーダーと適切な頻度で密接に協力し、定期的に最新情報を伝える。
  
• サイバーレジリエンスの文化を推進するために、組織全体のトレーニングや意識向上プログラムを通してベストプラクティスを定期的に共有する。
  

推奨されるメトリクスは次のとおりです。

• 高リスクグループ (取締役、最高責任者、IT、エンジニアリング、人事、財務の各部門の担当者) を対象とする、サイバーハイジーンの実践に関するサイバーセキュリティ意識向上教育プログラムを修了した従業員の割合
  
• ビジネスユニットとのサイバーセキュリティに関する協力的なエンゲージメント数
  

原則 OG2: レジリエンスバイデザイン

OG 業界の組織の取締役会は、セキュリティバイデザイン/レジリエンスバイデザインの文化を推進し、経営陣に対して、同様の基準や価値観を導入し、その進捗状況を記録するよう求めるものとします。 

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• ビジネスバイデザインのあらゆる面でサイバーリスクとその影響が評価され、組み込まれ、適切に管理されているか?
  
• レジリエンスバイデザインを実現するために、職務間や部門間でサイバーリスク管理の所有権がどのように確立されているか?
  
• 組織の部門間でリスク管理業務がどのように調整されているか?
  
• 継続的な業務で直接的や間接的なサイバーリスクがどのように管理されているか? また、新しいイニシアチブにはどのような計画が立てられているか?
  
• 主な担当者に、サイバーレジリエンスの影響と各ロールに期待する役割をどのような方法で認識させているか?
  

次の例を見てみましょう。

石油会社におけるサイバーセキュリティリスクの統合

石油会社の取締役である Tim は、IT 機器から、OT 制御システム経由で接続されたエネルギー資産まで、バリューチェーンの各部のサイバーセキュリティの統合に取り組んでいます。サイバーリスクの重要性を周知徹底するために、Tim をはじめとする取締役と CEO がサイバーに関する主要原則の覚書を作成して承認し、最高執行責任者 (COO) と最高情報責任者 (CIO) が社内に伝達しました。チームはリスク管理を向上させるために、取締役会の支持を得て、サイバーセキュリティプログラムに人員と資金を投入し、サイバーセキュリティのガバナンスシステムを確立して、プログラムを強化することができました。

レジリエンスバイデザインを導入する

レジリエンスバイデザインを導入する場合の推奨事項は次のとおりです。

• すべてのビジネスユニットが各自の事業で新たなサイバーレジリエンスの要件を所有し、コミットメントを果たすように、サイバーレジリエンスのメトリクスと適切なインセンティブを定める。
  
• サイバーリスクとレジリエンスの説明責任を担う役員が、サイバーレジリエンスについて定期的に報告する頻度を決める。
  
• ビジネスユニットやリスク関連職務の担当者と協力して、サイバーリスク体制をビジネス上のニーズに適応させる。
  
• 各ビジネスユニットのニーズや独自のリスクに応じたサイバーセキュリティの意識向上プログラムを作成する。
  
• 担当者がサイバーリスクを特定して管理できるようにする。
  
• サイバーレジリエンス、防御、検出、対応に関する対策が技術関連業務やビジネス関連業務にあらかじめ組み込まれていることを確認する。
  

推奨されるメトリクスは次のとおりです。

• ビジネスユニットのプロセスのうち、サイバーレジリエンスの実務があらかじめ統合されているものの割合
  
• サイバーレジリエンスや意識向上の (各人のレベルに応じた) トレーニングに従っている従業員の割合
  
• サイバーレジリエンスがあらかじめ組み込まれた模範的なライトハウスプロジェクトの割合。「ライトハウス (灯台)」という用語は、サイバーレジリエントシステムの設計に人工知能 (AI) や高度な分析など最先端のテクノロジーを適用しようとする人々が目指すビーコンとなるプロジェクトであることを表します。
  
• システムの障害または機能停止につながる重大なサイバーインシデントの検出、対応、復旧に要する平均時間
  

原則 OG3: サイバーレジリエンスに対する企業責任

OG 業界の組織の取締役会は、経営陣に対して、組織や広範なエコシステムのサイバーリスクを検討し、組織のサイバー文化や実務を検証して、こうしたリスクを管理する方法を模索するよう奨励するものとします。 

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• 組織がエコシステムにもたらすサイバー関連のリスク、影響が連鎖的に広がる可能性、評判を損なうリスクについて経営陣はどのように考えているか?
  
• ビジネスの各面でサイバーリスクの原発的な影響と連鎖的な影響がどのように評価され、管理されているか? 影響が連鎖的に広がる可能性や評判を損なうリスクがどのように評価されているか?
  
• 組織は潜在的なサイバーリスク、脆弱性、インシデントのエコシステムへの拡散を関係者にどのように伝えるつもりか?
  

次の例を見てみましょう。

サイバーセキュリティからサイバーレジリエンスに移行したエネルギー石油化学企業

多くの組織にはリスク選好度が異なるさまざまな文化が存在するため、サイバーセキュリティの全社的なポリシーやベストプラクティスの導入がスムーズに進まないことがあります。リスク選好度とは、リスク対策を導入したうえで、組織や関係者が目的を達成するためにどの程度のリスクを受け入れる覚悟があるかを表します。このリスク選好度には法的や規制上の要件も考慮し、組織や関係者が受け入れるリスクが規制当局の定めた範囲を超えないようにします。

サイバー攻撃の潜在的な影響を軽減することを目標とするあるエネルギー石油化学企業で、最高情報セキュリティ責任者 (CISO) の Alison が、ビジネスユニット内のリスク選好度と関係者から求められる期待のバランスを取ったうえで、会社全体に包括的なサイバーレジリエンスを導入する必要があることを認識しました。取締役会から、会社のサイバーレジリエンスを高めることを目的とするトレーニングや意識向上プログラム、専用リソースに対する支持を取り付けています。Alison が適切なリソースやサポートを得られるように、取締役会がサイバー関連の新しいポリシーと実務を導入するために適切な関係者と連携する手段を用意してくれました。

サイバーレジリエンスに対する企業責任を導入する

サイバーレジリエンスに対する企業責任を導入する場合の推奨事項は次のとおりです。

• 他のビジネスユニットで任命された担当者や、各自のプロセスにサイバーレジリエンスを統合する職務の担当者と協力する。
  
• 組織に攻撃や侵害が生じたときに、サプライチェーンのパートナーやエコシステムの内部に潜むサイバーリスクに対処する措置を講じる。
  
• 既存の事業継続計画に、オフラインの復旧対策、帯域外の通信手段、独立した復旧サイトなどの情報を補足して、サイバーセキュリティ関連の事象に対応できるようにし、レジリエンスバイデザインを向上させる。
  
• エコシステム全体のコラボレーションを確立し、レジリエンス計画の活動を定める。
  

推奨されるメトリクスは次のとおりです。

• サプライヤー/ビジネスパートナーに関する重大/高レベルのサイバーリスクの状況別 (受容、回避、軽減、移転) 件数
  
• 各四半期にエコシステム内で検出/共有されたサイバーインシデント件数と、報告された脆弱性の修正措置の実施件数
  
• 予算とリソースの割り当てを見直し、組織のサイバーリスク選好度が適切に反映されていることを確認する頻度
  
• 事業継続計画や災害復旧計画に記載されているサイバーインシデントのシナリオ数
  

まとめ

この単元では、6 つの原則のうちの 3 つを取り上げ、OG 業界の組織にサイバーセキュリティの包括的なガバナンスモデルを確立する方法を説明しました。また、セキュリティバイデザイン/レジリエンスバイデザインの文化と、組織や広範なエコシステムに対するサイバーリスクを検討することの重要性についても学習しました。

次は、OG 業界にサイバーレジリエンスの包括的なリスク管理アプローチを導入する方法と、コラボレーションを促進するためにこの業界の組織が実行できる具体策を見ていきます。

リソース

• 外部サイト: WEF: Whitepapers: Advancing Cyber Resilience: Principles and Tools for Boards (サイバーレジリエンスの推進: 取締役会の原則とツール)
  
• PDF: WEF: Insight Report: Principles for Board Governance of Cyber Risk (サイバーリスクに対する取締役会のガバナンスの原則)