サイバーセキュリティのリスクを理解して回復力を高める: パート 1

すべてのリスクは、ビジネスまたは組織のレンズを通して見る必要があります。サイバーセキュリティ リスクに関する情報は豊富にありますが、組織への影響 (および可能性) が理解され、定量化されるまで、リスクに優先順位を付けたり、管理したりすることはできません。

誰がリスクの責任を負うべきかについての経験則は、この関係を説明するのに役立ちます。

リスクを負う (そして受け入れる) 人は、報道カメラの前に立ち、最悪のシナリオがなぜ起こったのかを世界に説明する人です。

これは、サイバー攻撃やデータ侵害に対する組織の回復力を維持することに関連する課題を管理する方法を探る一連のブログの第 1 回です。このシリーズでは、ビジネスとセキュリティの両方の観点を検討し、次に未来を形成する強力なトレンドを見ていきます。

このブログ シリーズは、サイバーセキュリティと組織のリーダーシップとの間のより強力な架け橋を構築するのに役立つことを恥ずかしがらずに試みています。

組織は、機会とリスクの両方を促進する 2 つの主要な傾向に直面しています。

• デジタル ディスラプション:私たちは、物理世界、生物世界、デジタル世界の融合を特徴とする第 4 次産業革命を経験しています。これは、蒸気と電気の使用が初期の工業化の間に農家や工場所有者の生活を変えたのと同じくらい、私たち全員に大きな影響を与えています.
  Netflix や Uber などのテクノロジー ディスラプターは、デジタル革命を利用して既存の業界を混乱させた明らかな例です。これにより、多くの業界が関連性を維持するために独自のデジタル イノベーション戦略を採用するようになりました。ほとんどの組織は、変化する市場に対応するために、自社の製品、顧客エンゲージメント、およびビジネス プロセスを再考しています。
• サイバーセキュリティ:組織は、組織犯罪、ならず者国家、フリーランスの攻撃者からの収益と評判に対する絶え間ない脅威に直面しています。これらの攻撃者は皆、組織のテクノロジーとデータに目を向けており、進化する一連のインサイダー リスクによって悪化しています。

デジタル トランスフォーメーションを制約することなくリスクを理解して管理する組織は、同業他社よりも競争力を得ることができます。

サイバーセキュリティは古くて新しい

組織がサイバーセキュリティを既存のリスク フレームワークとポートフォリオに組み込む際には、次の点に留意することが重要です。

• サイバーセキュリティはまだ比較的新しい: 数十年にわたる履歴データと分析を使用して自然災害や経済の低迷に対応するのとは異なり、サイバーセキュリティは急速に進化している新たな分野です。リスクとその管理方法に関する私たちの理解は、テクノロジーの革新と攻撃者の手法の変化に応じて進化する必要があります。
• サイバーセキュリティは人間の対立に関するものです : サイバー脅威の管理は比較的新しいものかもしれませんが、人間の対立は人間が存在する限り存在しています。戦争、犯罪、経済学、心理学、社会学に関する既存の知識を適応させることで、多くのことを学ぶことができます。サイバーセキュリティは、グローバルな経済、社会、および政治環境とも結びついており、それらを切り離すことはできません。
• サイバーセキュリティは急速に進化します (そして境界はありません):テクノロジー インフラストラクチャが配置されると、鉄道や道路インフラストラクチャの歴史を反映して、アイデアやソフトウェアをグローバル プレゼンス (有用か悪意かに関係なく) に拡張する速度にほとんど制限はありません。 .インフラストラクチャは商取引と生産性を可能にしますが、犯罪者や悪意のある要素が同じ規模と速度で行動することも可能にします。これらの悪役は、違法な目的を追求する際に、規制、合法性、道徳など、正当な使用に関する多くの制約に直面していません。インターネットへの参入障壁がこれらのように低いため、サイバー攻撃手法が考案されて証明されるとすぐに、その量、速度、および洗練度を高めることができます。これにより、私たちは常に彼らの最新のアイデアに追いつくことができます。
• サイバーセキュリティには資産の維持が必要です: サイバーセキュリティの最も重要で見過ごされている側面は、非常に重要なプラクティスを一貫して適用するために「衛生」タスクに投資する必要があることです。
  多くの人を驚かせる側面の 1 つは、ソフトウェアが他の資産や機器とは異なる方法で「老化」し、時間の経過とともにセキュリティの問題が静かに蓄積されることです。もろい金属のように、これらの静かな問題は、攻撃者が発見すると突然大規模な障害になります。これにより、プロアクティブなビジネス リーダーシップが進行中のテクノロジー メンテナンスをプロアクティブにサポートすることが重要になります (これまで目に見える障害の兆候が見られなかったにもかかわらず)。

実用的であり続ける

相互接続された世界では、ある程度のキャッチアップは避けられませんが、積極的な姿勢で、ビジネスに影響を与えるイベントの影響と可能性を最小限に抑える必要があります。

組織は、次のようなリスクとレジリエンス戦略を構築し、適応させる必要があります。

1. 脅威を視野に入れる:利害関係者が、ビジネスの優先順位、現実的な脅威のシナリオ、および潜在的な影響の合理的な評価のコンテキストで総合的に考えていることを確認します。
2. 信頼と関係の構築:組織にとって最も重要なサイバーセキュリティ アプローチは、共生的に考え、行動すること、つまり、共通のビジョンと目標を持って協力することであることがわかりました。
   他の重要なリソースと同様に、危機では信頼と関係が緊張する可能性があります。継続的に変化する不完全な情報を含む複雑な環境で難しい決定を下さなければならないセキュリティ関係者とビジネス関係者の間の強力で協力的な関係を構築するために投資することが重要です。
3. ビジネス オペレーションをどこにいても保護するためのセキュリティのモダナイゼーション:このアプローチはしばしばゼロ トラストと呼ばれ、セキュリティがビジネス、特にデジタル トランスフォーメーション イニシアチブ ( COVID-19 中のリモート ワークを含む) と、柔軟性のない品質機能としての従来の役割を実現するのに役立ちます。

1 つの組織、1 つのビジョン

組織がデジタル化するにつれて、組織は効果的にテクノロジー企業になり、本来の利点 (顧客エンゲージメント、迅速な規模) と困難 (メンテナンスとパッチ適用、サイバー攻撃) の両方を継承します。私たちはこれを受け入れ、このリスクをチームとして管理し、課題を共有し、継続的な進化に適応することを学ばなければなりません。

今後のブログでは、ビジネス リーダーとサイバーセキュリティ リーダーの視点からこれらのトピックを探り、サイバー攻撃に対する回復力を維持するためのリスクのフレーミング、優先順位付け、および管理について学んだ教訓を共有します。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。