サイバーレジリエンスの原則をオペレーションに導入する

学習の目的 

この単元を完了すると、次のことができるようになります。

• 新しいサイバーポリシーと原則を採用するためのインテグレーション計画を考案する方法を説明する。
  
• サイバーレジリエンスを優先事項とすることへの賛同を得る方法を説明する。
  
• サイバーレジリエンスを組織の貴重なビジネス機会として提案するための具体策を挙げる。
  
• サイバーレジリエンスの原則を効率的に採用するための計画を立て、チームを編成する。
  
• サイバーレジリエンスの原則をロールアウトし、組織全体のサイバーレジリエンスを観察して拡張する方法を説明する。
  

原則を導入する

世界経済フォーラム (WEF) の石油・ガス (OG) 業界向けのサイバーレジリエンスの原則を導入して、その意図する十分な効果を実現するためには、サイバーレジリエンスを後付けで考えるのではなく、組織の文化とビジネスの規範のあらゆる面に組み込んでいく必要があります。企業に深く根付いたマインドセットをシフトさせるためには、管理職が OG 組織内にサイバーレジリエンスのベストプラクティスを段階的に導入していくことが考えられます。このアプローチの手順は次のとおりです。

• インテグレーション計画を考案する。
  
• 賛同を得る。
  
• 提案する。
  
• 計画を作成してチームを編成する。
  
• ロールアウトを実行する。
  
• 観察して拡張する。
  

Sydney は、石油・天然ガス公社の最高情報セキュリティ責任者 (CISO) です。では、Sydney が業界のサイバーレジリエンスの原則を導入するところを一緒に見ていきましょう。 

インテグレーション計画を考案する

Sydney は、新しいサイバーポリシーと原則の効率的な統合と採用を可能にするための計画の重要性を認識しています。そこでまず、組織の 4 つの主要な柱 (リスク体制、社内文化、組織モデル、ビジネス計画) を基盤に普及方法を定義することにします。サイバー関連の対策の優先順位を見極めるために、組織内の成熟度とリスク体制を評価します。

さらに、サイバーセキュリティによって各ビジネスユニットのコアコンピテンシーがどのようにサポートされ、発揮されるかを理解し、サイバーレジリエンスの原則をビジネスの計画、ビジョン、ミッションに結び付けて統合します。組織の運用モデルや構造を理解して、迅速かつ確実な採用に欠かせない関係者は誰かを検討します。Sydney はサイバーレジリエンスの原則の効率的な採用と導入を念頭に、組織の内部文化にうまく統合させる普及モデルのアプローチを選択します。

賛同を得る

Sydney は続いて、社内の中間管理職と上級管理職の両方から支持を得るために、サイバーレジリエンスを優先事項にするという取締役会の指示を踏まえて、ビジネスユニットにサイバーリスクについて解説します。主な関係者から賛同を取り付けるために、個別の状況におけるサイバーレジリエンスの原則の価値を明確にして、取締役会の指示を実現するために必要となる具体的な期待と要件をまとめます。取締役にサイバーレジリエンスの重要性を説き、具体例を示すことで、上級管理職の支持を固めます。

また、組織全体の数人の関係者の中から、サイバーレジリエンスの原則の導入に不可欠である主要な支持者 (組織のリスク責任者や監査チームなど) を特定します。計画の作成時に、主要なビジネスの責任者にそのビジネスにとっての重要性やメリットを明示して、社内の賛同を取り付けます。他方、運用予算を特定のサイバーレジリエンス対策に充当するという方法で、パイロットプロジェクトやライトハウスプロジェクトにサイバーセキュリティ専用の資金を調達して、リソース面や資金面でも援助を行います。

さらに、シームレスで迅速な採用を目指し、サイバーレジリエンスの原則を既存のガバナンスプロセスに統合します (たとえば、組織の安全な文化や他の成熟した規律を活用します)。

提案する

次に、上級管理職の支持や関与を維持するために、Sydney はサイバーレジリエンスが組織の貴重なビジネス機会になると説明します。新しいサイバーポリシーを、会社のビジョンやミッション、戦略目標に結び付けます。組織やビジネスユニットのリスクを挙げ、導入が複雑ながら緊要な事項であることを伝えます。

Sydney はまた、取締役会に連絡や報告する際に、特定した社内の賛同者と連携して、協力的かつ包括的な提案を行うようにします。実用的な例を示しながら、組織のリスクとメリットを定量化や定性化することでビジネス価値を示し、サイバーレジリエンスのメリットを取締役会に繰り返し説明します。また、パフォーマンスの測定点や適時の重要業績指標を明確にし、定期的な報告 (月次から隔年) を定めて、明確な目標を設定します。

取締役会に対し、サイバーレジリエンスの原則の妥当性を繰り返し述べ、長期的なサイバーレジリエンスの価値とメリットを強調します。 

計画を作成してチームを編成する

続いて、サイバーレジリエンスの原則の効率的な採用と導入を実現するために、Sydney は明確な活動、マイルストーン、実際的な主要業績メトリクスを記したロードマップを作成し、将来の変更に対応するメカニズムも整えます。組織の複雑性や文化、そして取締役の目標を念頭に、導入ロードマップを管理する部門横断的なチームを選定します。主な成果物や測定点を設定して、報告やメトリクスの連絡計画を明示し、(必要に応じて) 計画を調整して検証します。

その一方で、普及モデルを定義するために、社内の変更管理、ビジネスプロセスエンジニアリング、普及方法 (組織のアジャイル手法や年次事業計画などを活用) を検討します。Sydney は、チームが原則の価値を理解していること、そして、個々の目標を適用して、サイバーセキュリティの責務を各ロールに組み込むという方法でロードマップを推進していることを確かめます。

ロールアウトを実行する

いよいよ、組織のサイバーセキュリティ文化を形成する目的で、規定のインテグレーション計画に従って、サイバーレジリエンスとリスク管理の主な原則をロールアウトします。サイバーレジリエンスの原則を紹介して導入し、対象の運用モデルに組み込みます。パイロットプロジェクト、ライトハウスプロジェクト、既存のプロジェクトを活用して、サイバーレジリエンスプログラムを新たな開発に統合します。

また、サイバーリスクというものがどのようなものか包括的に認識できるように、取締役をはじめとする幅広いスタッフに合わせてトレーニングを調整します。

観察して拡張する

最後に、即時のフィードバックループによる継続的な観察を実施する一方で、主要業績指標を確認し、サイバーレジリエンスを組織全体に拡大するために必要な定期的なパフォーマンスレビューを実施します。サイバーレジリエンスの進行中のプロジェクトや今後のプロジェクトの価値と、組織のサイバーセキュリティの目標達成について、主な関係者とコミュニケーションを取り続けます。取締役会への継続的な報告やフィードバックで、当初の目標を振り返り、わかりやすい測定値を示し、進捗状況と全体的な価値を伝えます。

さらに、主要な指標 (プロジェクトの予算や有効性など) を観察し、出現した問題点を見極め、導入に影響を及ぼす前に取り除きます。指定した業績指標を観察して検討し、サイバーセキュリティの拡大に向けて必要に応じて調整します。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応する用語にドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。

おつかれさまでした。

まとめ

このモジュールでは、サイバーリスクを評価して、サイバーレジリエンスを OG 業界全体に拡大するためのブループリントについて説明しました。また、OG 業界の取締役会を対象とした WEF のサイバーレジリエンスの原則を導入する方法についても学習しました。これで終了です!

サイバーセキュリティのキャリアやテクノロジーの詳細に関心がある方は、サイバーセキュリティの学習ハブにアクセスしてください。他のロールについて学習することや、実務でセキュリティに携わる人から話を聞くことができます。

リソース

PDF: WEF: Cyber Resilience in the Oil and Gas Industry (石油・ガス業界のサイバーレジリエンス)