リスク管理の文化を確立する

学習の目的

この単元を完了すると、次のことができるようになります。

• リスク管理の包括的なアプローチを導入する際に検討すべき質問事項を挙げる。
  
• コラボレーションを促進するための具体策を挙げる。
  
• エコシステム全体のサイバーレジリエンス計画を作成する方法を説明する。
  

引き続き、世界経済フォーラム (WEF) の石油・ガス (OG) 業界向けのサイバーレジリエンスの原則を見ていきます。

原則 OG4: 包括的なリスク管理

OG 業界の組織の取締役会は、OG エコシステム全体のサイバーリスクを管理するために、サイバーレジリエンスプログラムに対する適切な権能、資金、リソース、説明責任を取り決めるものとします。 

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• 社内外の関係者によって組織にどのようなリスクがもたらされるか?
  
• サイバーセキュリティの適切かつ包括的なリスク管理の目的を達成するためには、どの程度の財政的、人的リソースがあれば十分か?
  
• 現行のリスク管理アプローチには、サプライチェーンのサイバーリスクがどの程度考慮されているか?
  

リスク管理の包括的なアプローチを導入する

包括的なリスク管理を導入する場合の推奨事項は次のとおりです。

• サプライチェーンやバリューチェーン内で生じるサイバーリスクを特定し、関係するパートナーと協力して脆弱性を軽減する。
  
• 他のビジネスユニットと協力して、サイバーリスクの許容度を定義して数量化する。
  
• サプライチェーンやバリューチェーンの依存度を調べ、サイバー脅威に関連する盲点や高リスクを特定する。
  
• リスク管理の対策やツール (セキュリティ評価、アンケート、監査など) が、エコシステム全体で採用され受け入れられている包括的なアプローチに従っていることを確認する。
  
• 業界で認められているリスクの一般的なフレームワークを採用する (国際標準化機構/国際電気標準会議 (ISO/IEC) の 27000 シリーズ、米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) やサイバーセキュリティの機能成熟度モデル (C2M2) など)。
  

推奨されるメトリクスは次のとおりです。

• 評価 (サイバーレジリエンスのデューデリジェンス) が実施され、契約にセキュリティ条項が定められている戦略的サプライヤーやパートナーの割合
  
• 組織のリスク分析の対象となる重大なシステミックリスク (業界全体に影響するリスク) の数
  
• ビジネス影響分析の情報などに基づいて、重要なビジネス資産、職務、サプライヤー、パートナーに対して実施されるリスク評価 (リスクの特定、分析、評価の全体的なプロセス) の頻度
  
• リスク管理プロセスの対象となる重要な資産の数
  

次の例を見てみましょう。

サイバーリスクの受容に関するスケーラブルなプロセス

Carolyn は油田サービス企業の執行役員です。この会社は、サイバーリスク管理を文書化し、サイバー脅威を事業運営に対するハザードとみなすアプローチを採っています。Carolyn はサイバーセキュリティを最優先事項にするために、社内やベンダーのセキュリティレビュー業務を会社の調達・構築プロセスの一環として統括しています。 

このレビュープロセスは、申請、評価、承認、追跡の 4 つのステップで構成されています。レビューの申請があると、Carolyn のチームがデータ分類やビジネスプロセスの重要性などの要因を考慮して、安定性、再現性、拡張性を備えたコントロールライブラリに基づいてリスクベースの評価を実施します。続いて、リスクの程度に応じて、ビジネス、法務、情報テクノロジー (IT) の各部門から承認を取り付けることになっています。 

最後に、Carolyn は定期的なエグゼクティブレポートを使用して、サイバー脅威とその修正を追跡します。反復性と拡張性を備えたこのプロセスにより、リスク評価と部門横断的なリスク所有に対する責任が明確となるリスクベースのコントロールが一貫して適用されます。

原則 OG5: エコシステム全体のコラボレーション

OG 業界の組織の取締役会は、エコシステム全体のリスクを効率的に監視して管理する協力的な文化を経営陣が構築できるようにするものとします。 

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• サイバーレジリエンスのコラボレーションプラットフォームやアクショングループに組織がどのようにエンゲージするか?
  
• 組織のエコシステム全体を対象とするサイバーレジリエンスの行動計画はどのようなものか?
  
• 組織やエコシステムのサイバーレジリエンスの実務を強化するために行ったコラボレーション活動からどのような教訓が得られたか? どのような新しい機会が得られたか?
  

次の例を見てみましょう。

エコシステム全体のアプローチを確立する 

Gregory はエネルギー企業の IT 部門の責任者です。この企業の分散したエコシステムでは、上流から下流のそれぞれのビジネスが異なる組織、パートナーシップ、合弁事業に依存しています。エコシステムに属する各社に独自のオペレーション環境の規範があり、サイバーセキュリティに対するアプローチも多様なため、まとめて管理することが困難になっています。 

Gregory はサイバーリスクを軽減するために、さまざまなオペレーション環境のギャップを埋め、上流と下流のオペレーショナルテクノロジー (OT) チームを結び付けることを目的としたイニシアチブを立ち上げました。IT グループは、サイバーリスクに対する実務やアプローチを統一するために一元化したチームに出資し、標準のインフラストラクチャと一貫性のある資産インベントリツールを導入して、OT 環境を継続的に監視するプロセスを調整しました。 

この一元化されたチームにより、Gregory の会社は、上流と下流のパートナー組織が共有するサイバーレジリエンスのコントロールや計画を継続的に向上させることができます。

この方法では、リスクに対する準備状況と防御のバランスを取りながら、監視機能や対応策を向上させることができます。統一されたアプローチやコントロールの採用において各社が連携すれば、OT 環境に対する監視や可視性が向上し、IT/OT ソフトウェアのバージョン管理やパッチ適用を検出して対処する時間が数日から数分に短縮されます。

エコシステム全体のコラボレーションを実現する

エコシステム全体のコラボレーションに関する取締役会向けの原則を導入する場合の推奨事項は次のとおりです。

• エコシステムのパートナーと協力して、業界のフレームワーク、標準、ツールに基づく統一されたアプローチを開発、改善、採用する。
  
• エコシステム全体のコラボレーションを実現するために、政策立案者や世界的な標準化機構に協力を求め、その内容を報告する。
  
• 情報の共有を奨励し、エコシステム全体のコラボレーションを強化して、協調的な行動を促進するサイバーレジリエンスのコミュニティやイニシアチブ (業界、国家、国際機関の管理下) に参加または主導する。
  
• エコシステムの関係者と協力し、システム全体のサイバーセキュリティ情報共有機関のサイバーセキュリティに関する協議に積極的に参加する。石油・天然ガス情報共有・分析センター (ONG-ISAC)、オペレーショナルテクノロジー情報共有・分析センター (OT-ISAC)、米国石油協会 (API)、欧州連合サイバーセキュリティ機関 (ENISA) などがこうした機関に該当します。
  

推奨されるメトリクスは次のとおりです。

• エコシステムや業界の同業者と交流する頻度
  
• セキュリティ関連の当局者やサイバー対応の専門家と面談した頻度。政策立案者、国家安全保障や諜報機関の関係者、民間のサイバー対応や法務のエキスパートなどがこうした専門家に該当します。
  
• エコシステムの同業者と交換した脅威インテリジェンスの報告書やブリーフィングの数
  

原則 OG6: エコシステム全体のサイバーレジリエンス計画

OG 業界の組織の取締役会は、経営陣に対して、エコシステムの他のメンバーと共同で、サイバーレジリエンスの計画やコントロールを作成して導入し、テストして改善するよう奨励するものとします。 

組織にサイバーレジリエンスを導入する際、取締役会は次の点を検討します。

• どのようなデータや情報を保護する必要があるか? サイバーレジリエンス計画にどの活動を記載するか? 計画に、組織のエコシステムのインシデント対応、コミュニケーション、事業継続、災害復旧などをどのように盛り込むか? 計画が規則正しく適切にテストされているか?
  
• レジリエンス共同計画の開発を提唱するために、取締役会と経営陣はどのコラボレーションプラットフォームを支持すべきか?
  
• レジリエンス共同計画に、エコシステム全体のリスクに対する準備状況と対応や復旧をどのように反映させ、バランスを取るか?
  

次の例を見てみましょう。

エネルギー企業によるバリューチェーンのセキュリティ保護のサポート

Rebecca はエネルギー企業の取締役です。企業のサイバーセキュリティの準備状況を調査する目的で、自身の会社が情報セキュリティ専門の研究所と提携して、OG 分野のグローバル企業の役員や管理職にアンケートを実施するイニシアチブを支援しています。アンケートの結果から、セクター全般の大半の組織が、OT に接続されたエネルギー資産に関する詳しい知識を有し、サイバー攻撃を特定して未然に対処することができるサイバーセキュリティ担当者の採用に苦労していることが判明しました。

Rebecca の会社では、すべての OG 企業のサイバーセキュリティを向上させる 1 つの手段として、中小規模の組織が高度な人工知能 (AI) ベースの監視・検知ソリューションを利用できるようにすれば、デジタルエコシステムにおいてサイバー攻撃の標的となりやすい弱点を強化できると考えています。メーカーに依存せず、相互運用が可能な AI テクノロジーを組み合わせ、OT に精通した人材の専門知識を効率的に活用すれば、中小規模のエネルギー企業も監視、検出、サイバー攻撃防止の機能を利用できるようになり、これまでは十分な予算がある企業内でのみ実現されていた防御が可能になります。

エコシステム全体のサイバーレジリエンス計画を導入する

エコシステム全体のサイバーレジリエンスに関する原則を導入する場合の推奨事項は次のとおりです。

• すべての職務やユニットのリーダーと緊密に協力して、サイバーレジリエンス計画を組織の戦略的優先事項の 1 つとして作成し、取締役会の役割を明記する。
  
• サイバーレジリエンス計画の重要な更新情報や、テストの頻度と結果を記した定期的なレポートの作成頻度を設定する。
  
• システム障害とその復旧を演習の一部または焦点とする、サイバーレジリエンスに関するサイバーセキュリティの演習やテストを定期的に実施する。
  
• サイバーセキュリティの対策やプログラムが、社内外のリソース、インシデントの管理、(人材、プロセス、テクノロジーによる) 対応や復旧の機能に結び付いていることを確認する。
  

推奨されるメトリクスは次のとおりです。

• 実施されたテストと採用された是正措置の数
  
• 重要なビジネスサービスが中断または停止した時間数 (中断による財務面への影響を含む)
  
• サイバーセキュリティの準備状況の演習で実施され、現在も進行中のアクションと終了したアクション (演習の一部または焦点として実施されたシステム障害テストなど) の割合
  
• 今四半期に、緊急時対応計画や災害復旧計画を導入してテストに合格した重要なシステムの割合
  

まとめ

この単元では、OG 業界にリスク管理の包括的なアプローチを導入する方法を説明しました。また、エコシステム全体のコラボレーションを促進する方法や、エコシステム全体のサイバーレジリエンス計画を作成することの重要性も学習しました。 

次は、OG 業界のオペレーションにサイバーレジリエンスの原則を導入する方法と、新しいサイバーポリシーや原則を採用するためにこの業界の組織が実行できる具体策について詳しく説明します。 

リソース

• 外部サイト: ISO/IEC 27001 Information Security Management (ISO/IEC 27001 情報セキュリティ管理) 
  
• 外部サイト: NIST Cybersecurity Framework (NIST のサイバーセキュリティフレームワーク)
  
• 外部サイト: 米国エネルギー省: Cybersecurity Capability Maturity Model (C2M2) (サイバーセキュリティ能力成熟度モデル (C2M2))