サイバーセキュリティリスクを検知して、インシデントに対応して復旧する

学習の目的

この単元を完了すると、次のことができるようになります。

• サイバーセキュリティリスクマネージャーが、どのようにポリシー、手順、コントロールの実装を追跡するかを説明する。
  
• 潜在的なリスクを早期に認識することの重要性を説明する。
  

リスクを監視して検知する

リスク管理は日常的な活動です。自分が大海原を航海する船の船長だと想像してみてください。目的地に安全に到着するためには、船の状態や海の状況を監視し、あらゆる問題を発見する必要があります。乗組員は帆、機関室、船体に目を光らせ、異常があれば報告することを心得ています。夜の見張り番は氷山がないか、海賊がいないか水平線を見渡し、嵐が来るかどうかレーダーを注視します。あなたは地図や海図を見て航路に沿っていることを確認します。問題を発見したら、乗組員や乗客に知らせ、重大事故の場合は沿岸警備隊に通報します。

船長が船のリスクを監視し、それに応じて航路を調整するように、サイバーセキュリティリスクマネージャーとしての仕事は、リスクを監視するために必要なデータを特定して、サイバーセキュリティのメトリクスを作成して追跡し、問題を効果的に検知して上司に報告することです。リスクを監視し、ポリシー、手順、コントロールの実装を追跡する際には、次の重要なポイントに留意してください。

ビジネスユニットと組織のリスク報告を統合する。

とりわけ、大規模な組織では、あなたが関わるさまざまチームは日常的に回答しなければならない多くのデータコールを抱えている可能性があります。可能な限り、チームがすでに使用している既存のデータを活用して、リスクを理解します。

オペレーションを忘れない。

リスク管理プロセスをできる限りサイバーセキュリティ業務と統合します。多くの業務インジケーターは結果重視ではないかもしれませんが、サイバーという船のリスクを効果的に把握するために使用できるものが必ずあります。たとえば、業務チームが監視しているネットワークはどの程度あるのか? 一元的なセキュリティオペレーションセンターに統合されていないビジネスシステムはあるか? 盲点となっているサードパーティベンダーはあるか? などは、運用の観点から考慮すべきリスクの重要なコンポーネントです。

データ収集を自動化し、機械学習を活用する。

今日の環境では、接続されたエンドポイント、ログ、脅威インジケーターによって生成されるデータが増え続けています。経験豊富なリスクマネージャーであれば、メトリクス収集プロセスの一部を自動化できないと、組織がデータに圧倒されかねないことを認識しています。これは特に、大規模な組織に言えることです。マシンデータの所有者と協力し、インジケーターの収集と分析を自動化する方法を見つけることで、組織に生じるリスクの全体像を把握し、リスクが発生したときに迅速に検知できるようになります。

信頼せよ、されど検証せよ。

どんなに優れたプログラムにもギャップはあります。このギャップは、監査プロセスや侵入テストなどのツールを通じてリアルタイムでテストすることができます。監査チームは、特定のシステムまたはプログラムに関連するアーティファクトやデータを調査し、規制または内部ポリシーの観点から、セキュリティ体制が望ましいリスク許容度と一致しているかどうかを判断します。侵入テストでは、さらに一歩進んで、敵対者の視点からシステム自体を調べ、脆弱性をうまく悪用できるかどうかを判断します。関心のあるプログラムやシステムのリスク体制をより深く理解できるように、このようなチームの作業を活用することをお勧めします。

エグゼクティブレポートを活用する。

サイバーセキュリティリスクマネージャーとしての仕事は、CISO、CIO、CEO、取締役会など、社内のリーダーに対して、組織のリスク体制について積極的に報告することです。レポートは、聴衆に関連性が高くなるように、常に成果を中心にして、ビジネスの状況に即して作成するようにしてください。学校で教師が成績表を使用して生徒の成長を評価し、保護者に早期に問題を提起するのと同じように、取締役会に問題を常に早い段階で何度も知らせるために、定期的にリスクに関して報告します。そうすることで、プログラムに対する信頼が生まれるだけでなく、新たなに発生したリスクを軽減するために資金や人員への追加投資が必要になった場合に根拠を示すことができます。取締役会のメンバーが組織のサイバーレジリエンスを促進する方法に関する詳細は、「サイバーレジリエンスプログラムの開発」モジュールを参照してください。

脅威に対応して修復する

サイバーセキュリティリスクを効率的に監視して伝達することで、組織は脅威を早期に予測して軽減し、ビジネスパフォーマンスの強化を促進できるようになります。潜在的なリスクを早期に検知すればするほど、攻撃や侵害も早期に特定でき、迅速な対応が可能になります。

火災報知器によって初期対応者がトラブルの発生場所を迅速に特定できるように、サイバーセキュリティリスクを管理することで、インシデント対応者は組織に対する最も高いリスクに集中することができます。リスクをどれだけ適切に管理しても、仕事が終わることはありません (将来も安泰ですね!)。脅威とテクノロジーの状況は進化し続けているため、サイバーセキュリティリスク管理は継続的なプロセスです。侵害が発生した場合は、インシデント対応チームや復旧チームと連携して、何が起きたかを把握し、将来、問題が再び発生しないように改善策を実装します。サイバーセキュリティリスク管理を組織の文化やプロジェクトに組み込むことで、今後何年も成功を収め続けることができます。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側にある項目のリストを右側にドラッグして、正しい順序に並べてください。全項目を並べたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

まとめ

このモジュールでは、サイバーセキュリティリスクとビジネスへの影響を特定する方法を学習しました。サイバーセキュリティリスクを管理することで組織を保護する方法について詳しく学び、リスクを検知して監視し、インシデントに対応して復旧する方法も学習しました。また、最初のモジュールで確認した情報に加え、サイバーセキュリティリスクマネージャーになるために何が必要かをより深く理解できました。Trailhead のサイバーセキュリティの学習ハブでは、サイバーセキュリティリスク管理や他の分野の仕事に就くために必要な需要の高いサイバーセキュリティスキルについて、またセキュリティ担当者について詳しく学ぶことができます。 

リソース

• 外部サイト: Center for Information Security (CIS): Maintenance, Monitoring, and Analysis of Audit Logs (監査ログのメンテナンス、監視、分析)
  
• 外部サイト: CISA: Systemic Cyber Risk Reduction (体系的なサイバーリスクの軽減)
  
• 外部サイト: OWASP: Fuzzing (ファジング)