PwCは、世界規模でセキュリティ関連の事件が2015年には約48%増加すると予測している。このことは、セキュリティ担当者の大半を嫌な気持ちにするはずだ。
リスク管理は答えになるか
セキュリティのパラダイムシフトという考えを検討する際には、現在のサイバー防衛の担当者は、従来のセキュリティの取り組みとは違った観点で考えるべきである。つまり、米国立標準技術研究所(NIST)が設立した取り組みによって後押しされている、「サイバーリスク管理」という価値体系に焦点を移すべきだ。
NISTは、テクノロジよりも管理を重視し、増加しつつあるサイバー攻撃がもたらす差し迫った脅威から組織が身を守るのに役立つ、いくつかのベストプラクティスを強調したセキュリティフレームワーク「NIST Cybersecurity Framework」を定めている。このフレームワークの要素は、一般に認められたベストプラクティスや常識といった領域に当てはまるものもあるが、組織のサイバー脅威への対処方法に著しい変化をもたらす要素もある。それはすなわち、5つの同時並行的で継続的な作業からなる、中心的な価値体系である。そうした作業は、組織がサイバーセキュリティリスクを管理する過程に戦略的な視点をもたらす。以下がその作業だ。
- 特定する:システムや資産、データ、能力に対するサイバーセキュリティリスクについて組織として理解する。
- 保護する:重要なIT機能をセキュリティの侵害なく実現するために、組織のリスク管理プロセスを通じて優先順位を付けた上で、適切な予防手段を策定し、実施する。
- 検出する:サイバーセキュリティに関連する事象の発生を特定するために、適切なシステムやポリシーを構築する。
- 対応する:サイバーセキュリティに関連する事象が発生した場合には必ず実行する、適切な活動やポリシー、イベントを構築し、実施する。
- 復旧させる:サイバーセキュリティに関連する事象によって損なわれた機能や、重要なインフラストラクチャサービスを復旧させるために、組織のリスク管理プロセスを通じて優先順位を付けた上で、適切なアクティビティを策定し、実施する。
NISTは、その手法とベストプラクティスは必須ではないと述べているものの、サイバーセキュリティに対する総体的なアプローチを活用しようという人々にとっては説得力のある主張を展開している。控えめに言っても、コンピュータネットワークの力に頼って事業を行っている企業で重視されるべき議論について、ヒントを与えている。
企業のサイバーセキュリティの管理を担当する人々は、企業のサイバーセキュリティの価値体系を作り上げているものを掘り下げて検討し、大惨事が起こる前に適切に対応する必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。