CISOにおける2つの優先事項

Tom Goodwin 著

半数以上の人たちは、来年には自分たちの会社がサイバー攻撃の標的になるのではないかと考えています。 半数の人たちは同様に、自社の復旧能力は不十分で、万が一攻撃を受けたとしても対応できないだろうと感じています。¹ 脅威の進化とともに、さらに多くの要素が積み重なったことで、「世界中のCISOは安心して眠りにつくことができないのでは？」と考えてしまうのも無理はないでしょう。

• 地政学的リスク：時としてサイバー犯罪は、地政学的な不確実性を利用して行われます。 事実、新型コロナウイルスの感染が拡大し始めたころ、サイバー犯罪の数も6倍にまで跳ね上がりました。.²
• 被害額の増加：データ侵害による被害コストは平均435万米ドル ,³ ランサムウェアによる身代金支払いコストは平均57万米ドルに達しています。⁴
• サプライチェーンの脆弱性：サイバー脅威の19％は、サプライヤーを踏み台に本丸となる組織へ侵入する攻撃です。 ³
• 不十分な計画策定：インシデント発生から最初の数時間が非常に重要になりますが、企業の56％はインシデントへの対応計画が明確に定まっていません。⁵
• 保険料の高騰：サイバー保険の保険料は、2021年の第4四半期だけでも92%値上がりしています。⁶

このような状況を踏まえ、私は一緒に仕事をしているCISOたちへ、次の2つの行動を優先するようにアドバイスしています。

1. 規制の整備を待っていると、保険制度は悪化の一途をたどるため、最悪の事態を想定し行動すること
2. 組織全体の運営におけるレジリエンスに対し、積極的な責任を求めること
    

規制と保険

業界によって規制の内容は異なります。 ですが、すべての業界で一貫して言えることがあります。それは「規制はリスクを最小限に抑えるためのものであるにも関わらず、はるかに遅れをとっている」という事実です。

規制をめぐる最大の問題は、世界中に影響を及ぼす危機的状況に陥らない限り、新たな対策が打ち出されないという点にあります。 例えば、2001年9月11日のアメリカ同時多発テロ事件前は、ワールドトレードセンターのノースタワーとサウスタワーにそれぞれデータセンターを設置している企業が一定数存在しました。 現在は2つのデータセンターを同じ地域に設置しないように規制で義務付けられています。

このことからわかる通り、規制が敷かれるのは何かしらのトラブルが起こった後です。だからこそ、私たちは企業へ教育を施し、誰もが最低限の行動を取れるようにしていく必要があるのです。

保険会社はすでにセキュリティの重要性に気づいています。 2021年の第4四半期だけでサイバー保険料が92%上昇したのもそのためです。⁶保険会社のロイズ・オブ・ロンドンは、2023年3月末より国家支援型攻撃をサイバー保険契約の対象から外すことを引受保険会社に発表しました。⁷

規制は本来あるべき状態からかけ離れており、保険会社から提示される基準も厳しくなる一方です。保険への加入基準も高まっていて、水道事業会社や半導体メーカーなどの一部企業もその事実に気づいています。

あまりにも多くの企業が、サイバーインシデントからの復旧コストを保険契約に依存しています。 つまりCISOは、自社の復旧能力や、ダウンタイムが長引いた際に直面する財務上の影響、さらにはその損失を保険で賄うことができないことについて、早急に対策を検討しなくてはならないのです。

運用上のレジリエンス  

たとえ脅威が地政学、サイバー、あるいは環境によるものだとしても、各ビジネスリーダーは自分たちがCISO、ITディレクター、リスクオフィサーとして、リスクと運営上のレジリエンスに対し責任を負うべきです。 （規制当局や保険会社はその責任を負っていません）

ガートナー社によると、2025年までに70%のCEOが、サイバー犯罪、深刻な気象災害、社会不安、情勢不安による同時的な脅威から生き残るために組織的なレジリエンス文化を義務付けるだろうと予想しています。⁸

自分たちのセキュリティレベルの現在地を確認し、組織と業界の安定に向けての取り組みを検討することは、段階的な発展を後押しする機会の創出につながります。 そのカギとなるのが、セキュリティ境界の構築です。 多くの企業は以下を実施する必要があります。

• 復旧プロセスの自動化やオーケストレーションに投資し、目標復旧時間や目標復旧ポイントを高めること
•  バックアップからの復元する際の人的ミスを最小限に抑えるための最適な方法を評価、確立すること
• インシデント対応計画を継続的にテストし、サイバーシミュレーションを行い、最悪の事態が起こっても迅速に行動し復旧できるようにすること   

波及効果

ガートナー社は、2025年までに60%の企業はサードパーティーとの取引やビジネスを行う際の重要な決定要素として「サイバーセキュリティリスク」を採用することを示唆しています。 ⁹ 今日のサイバー攻撃の19%はサプライヤー攻撃に起因している、という事実を思い出してください。³ つまり、どんな内容であろうとリスクに対して潜在的な責任はビジネスが負っており、逆もまた然りなのです。

まとめ

サイバー脅威はますます巧妙化し、被害件数もとどまることを知りません。また、ダウンタイムの長期化や復旧コストの上昇も生じています。

1. 規制はリスク軽減の達成からはかけ離れた状態にあること、保険契約はリスクと責任をユーザーに課す方向へ変わりつつあることを認識する必要があります。
2. サイバー攻撃、地政学的な不確実性、深刻な気象災害のいずれであっても、企業が生き残るために、運営上のレジリエンスを高めていけるような文化を社内に広める必要があります。

Tom Goodwin はキンドリルの事業継続に関する専門家です。

¹Half of global CISOs feel their organization is unprepared to deal with cyberattacks. Stone, B., TechRepublic, 
May 17, 2022
² 2022 Must-Know Cyber Attack Statistics and Trends. Embroker. August 2022
³ How much does a data breach cost in 2022? IBM. 2022
⁴ Extortion Payments Hit New Records as Ransomware Crisis Intensifies. Palo Alto Networks. August 2021
⁵ Cyberattacks are inevitable. Is your company prepared? Harvard Business Review. March 2021
⁶ Cyber Insurers Raise Rates Amid a Surge in Costly Hacks. Wall Street Journal. 2022
⁷ Lloyd’s to end insurance coverage for state cyber attacks. Computer Weekly. August 2022
⁸ Gartner Press Release, “Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23,” June 21, 2022

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved