サイバーセキュリティリスクを管理することで組織を守る

学習の目的

この単元を完了すると、次のことができるようになります。

• 既存のフレームワークを活用して、サイバーセキュリティリスク管理プログラムを設計して実装する。
• リスクを軽減、移転、保有する方法を説明する。
• サイバーリスク管理に欠かせないパートナーシップの種類を説明する。

サイバーリスク管理プログラムを設計して実装する

前の単元では、ビジネスコンテキストにおけるサイバーリスクを特定するために適切な質問をし、組織のリスク許容度を理解するために必要な情報を得ました。次は、サイバーセキュリティリスクを管理しましょう。

適切なフレームワークを使用すると、組織の保護が容易になります。独自のフレームワークを開発して実装することも、業界のフレームワークや手法を活用することもできます。選択可能な国内外のフレームワークや業界固有のフレームワークは多数あります。世界経済フォーラム (WEF) は、ホワイトペーパー「Advancing Cyber Resilience (サイバーレジリエンスを進める)」を発表しています。これには、サイバーリスク管理のためのフレームワークが含まれています。このフレームワークでは、知的財産、金融資産、物理的安全資産などさまざまな IT アセットを対象として、機密性、整合性、可用性の損失がビジネスに与える影響が評価されます。 

一般的に使用されているもう 1 つのフレームワークは、米国標準技術局 (NIST) のサイバーセキュリティフレームワークです。このフレームワークでは、サイバーセキュリティの活動と望ましい結果が識別 (Identify)、防御 (Protect)、検知 (Detect)、対応 (Respond)、復旧 (Recover) という 5 つの機能全体で整理されます。この機能は、リスク管理における組織の成熟度を大まかなレベルで示す項目であり、世界中のあらゆる規模の公共および民間セクターの組織に適用することができます。 

サイバーリスク管理に広く使用されているさらにもう 1 つのリソースは、Center for Internet Security が定めるトップ 20 の重大なセキュリティコントロールです。組織は、重要な情報を保護し、侵害される可能性を減らすためにコントロールを活用します。 

その他の一般的なフレームワークには、ISO/IEC 27001/2 の情報セキュリティ管理基準、Factor Analysis of Information Risk (FAIR) の手法、および金融業界の支払いカード業界のデータセキュリティ標準 (PCI DSS) や医療業界の医療保険の相互運用性と説明責任に関する法律 (HIPAA) などの業界固有の標準があります。どのフレームワークを選択するにしても、フレームワーク、規制、ポリシーに準拠することが必要ですが、これでは不十分であることを常に念頭に置いてください。サイバーセキュリティリスクマネージャーとして、組織独自のリスク許容度に見合ったレベルでリスクを管理する必要があります。 

組織の規模によっては、サイバーリスクの管理には、エンタープライズリスク管理 (ERM) チームとの統合が必要な場合があります。この広範なリスク管理を行う部門では、組織的かつ戦略的レベルでの業務リスクに加えて、財務リスクと規制リスクが考慮されます。たとえば、製薬会社の ERM 部門は、開発中の新薬が承認されなかった場合の財務リスクを考慮することがあります。また、競合他社に代わって活動する悪意のある行為者がシステムに侵入し、秘密の薬物構造式を盗んだ場合、同社はマイナスの影響に直面する可能性もあります。組織全体のリスクを管理する際には、このようなサイバーセキュリティリスクと財務リスクの両方が考慮されます。

組織に関連性の高いフレームワークを選択して適応させたら、フレームワークを使用して、ビジネスユニット、プログラム、システム、サードパーティベンダーについて継続的な評価を実施します。自社環境のリスクを理解するためには、リスク傾向のインジケーターとして機能できるデータを定期的に特定して収集することが重要です。たとえば、米国連邦政府は、最高情報責任者 (CIO) 連邦情報セキュリティ管理法 (FISMA) の評価指標を四半期ごとに収集し、各省庁のサイバーリスクの管理、意思決定のサポート、改善の優先順位付けに役立てています。 

組織のベースラインリスク体制と改善目標を理解することで、サイバーセキュリティ戦略、ポリシー、標準に必要な変更について組織に助言できるようになります。また、サイバーセキュリティリスクマネージャーとして、どのコントロールや改善を優先すべきかの判断も伝えます。では、技術的コントロールの実装について助言する方法を詳しく見ていきましょう。 

リスクを軽減、移転、保有する

各リスクの評価軸を評価すると、優先順位を付けて対処できます。サイバーセキュリティリスクマネージャーとしての仕事は、各リスクに個人的に対処することではなく、必要に応じてリスクの所有者に決定に関する助言を行うことです。リスク所有者がリスクへの対処を決定する方法は、軽減、移転、保有の 3 つがあります。それぞれについて詳しく見てみましょう。

リスクを軽減する

リスク所有者はコントロール所有者と協力し、システムの機密性に基づいて、リスクを軽減するためのセキュリティコントロールを実装します。たとえば、病院のデータベース管理者はアクセス管理チームと協力して、機密性の高い患者データにアクセスするための 2 要素認証を実装します。このチームは、従業員に対してユーザー名とパスワード、およびコンピューターに挿入されたスマートチップと PIN 付き ID カードの両方を使用してデータベースにアクセスすることを義務付けます。こうすることで、この管理者は、攻撃者がフィッシングメールを通じて従業員のログイン情報を盗み出し、患者データに不正にアクセスするリスクを軽減します。 

リスクを移転する

リスクに対して、小規模な組織にとっては複雑すぎる技術的ソリューションや、コア機能の外部にあるソリューションが必要だと判断した場合は、別のチームや企業に委託します。従業員が 3 人の会計事務所に勤める Joe を例に考えてみましょう。Joe は、攻撃者が安全でない接続を通じてクライアントの財務情報を侵害するというシナリオを避けるために、公共インターネットへの安全な接続を確立することが事務所にとって重要であるとわかっています。ただし、Joe はインターネットセキュリティのエキスパートではありません。そこで、信頼できるインターネットプロトコルサービスと契約し、ファイアウォール、侵入検知と防止、アンチウイルスサービスでインターネット接続のセキュリティを管理することにします。ベンダーとの契約には、ベンダーによって満たされる必要のあるセキュリティ標準に関する文言を盛り込みますが、安全なインターネット接続を運用するリスクはサードパーティに移転します。 

リスクを保有する

どの組織もリソースの制約がある中で運営されているため、すべてのリスクを完全に排除することは不可能です。リスク評価を実施した結果、あるリスクは発生する可能性が低く、そのリスクを完全に排除するために時間と資金を費やす価値はないという結論に達することがあるかもしれません。または、現時点でプロジェクトにシステムをより安全なテクノロジーにアップグレードする予算がないこともあります。このような場合、無期限または具体的なタイムラインまでにリスクを軽減することを条件に、そのリスクを保有することができます。重要なのは、最終的な軽減のための決定と関連するタイムラインを明文化することです。そうすることで、ビジネスユニットが慎重にリスクを管理し、組織全体のサイバーリスク体制に対するリスクとその影響を追跡していることを確認できます。この演習は、リスクの緊急性が以前に特定したときよりも高くなっていることが判明した場合に、特定のプロジェクトに対して予算や人員を追加することを正当化するためにも使用できます。 

これで、リスク管理の 3 つの方法を理解できました。次は、サイバーセキュリティリスクマネージャーとして、パートナーシップを活用して組織全体のリスクを効果的に管理する方法について説明しましょう。

パートナーシップを活用してリスクを効果的に管理する

チームとしてサイバーリスクを管理することで、組織はサイバーセキュリティ体制を強化します。キャプテンがチームの他のメンバーなしでサッカーの大事な試合に勝つことができないように、ビジネスを守り、セキュリティのゴールを決めるためには、組織全体の人々と協力する必要があります。組織の成功を可能にするプレーを指示する主導的役割を担うことはできても、組織全体でパートナーシップとサイバーセキュリティの文化を築き上げなければ、組織は決して大事な試合に勝つことはできません。

Marita は銀行でサイバーセキュリティリスクの管理者であり、コミュニケーション、チームワーク、アドボカシーのスキルを使用し、賛同を得て、自覚させ、責任感を持たせることで、組織全体のリスク管理を改善しています。また、ビジネスチームとテクノロジーチームの両方から意見を募り、サイバーセキュリティコントロールの実装と監視における各自の役割を従業員が理解していることを確認しています。業務スタッフと協力して、さまざまなシステムとそこに含まれるデータの重要度を理解したり、システムセキュリティエンジニアと協力して、軽減策の推奨と実装を行ったりもしています。さらに、銀行全体のリスクの全体像を把握するため、プライバシーチームや事業継続チームなどのメンバーとも連携しています。 

Marita は、脅威インテリジェンスチームと連携し、自分の業界にも当てはまるものとして現在の脅威の状況について理解を深めています。また、サードパーティのリスクを管理するチームと協力し、外部ベンダーに移転されたリスクを継続的に把握できるようにしています。その上、組織のコンプライアンスに影響を及ぼす可能性のある規制変更を常に把握するために法務チームと連携したり、セキュリティ目標が全員に確実に理解されるように啓発やトレーニングを実施するチームと連携したりしています。こういったチームや組織内の他のチームから多様性のある視点を取り入れることで、組織全体の保護を強化できるのです。 

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の機能を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

習得度チェック

おつかれさまでした。次の単元では、サイバーセキュリティリスクマネージャーがどのようにリスクを検知し、インシデントに対応して復旧するかについて詳しく学習します。では、次に進みましょう。

リソース

• Trailhead: サイバーレジリエンスを進めて将来に備える
• 外部サイト: 米国標準技術局 (NIST): Security and Privacy Controls for Federal Information Systems and Organizations (連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)
• Trailhead: NIST サイバーセキュリティフレームワークについて調べる
• 外部サイト: NIST: Risk Management Framework (RMF) Overview (リスク管理フレームワーク (RMF) の概要)
• 外部サイト: Center for Internet Security: Where Risks Meet Controls (リスクとコントロールが対峙する場所)
• 外部サイト: SANS: Realistic Risk Management Using the CIS 20 Security Controls (CIS の 20 のセキュリティコントロールを使用した現実的なリスク管理)