サイバーセキュリティインシデントからの復旧--企業が事前に備えておくべきこと

　私たち人間は、適切な努力をすればどんな問題でも解決できる、と考えがちである。それが正しいのは、問題が明白である場合だけだ。今日の複雑なデジタル世界の問題、特にサイバーセキュリティに関連する問題は、従来の問題よりもはるかに分かりにくい。それらの問題に気付いていなければ、解決するのは非常に困難だ。

サイバーセキュリティ問題の解決が困難であるいくつかの理由

　そして、Trepp氏はハードウェアとソフトウェアの未知の脆弱性がこれほど大きな問題である理由を説明する。「結局のところ、ハッカーの方が簡単に目標を達成できる」とTrepp氏。「熱力学の第2法則は、ものを作るよりも壊すほうが簡単であることを私たちに教えてくれる。そのため、エンジニアがソフトウェア記述時に脆弱性を避けることよりも、ハッカーが脆弱性を見つけることの方が常に簡単である」（同氏）

サイバーセキュリティへの新しいアプローチが必要

　この難問についての新しい考え方がここ数年で進化している。セキュリティ専門家たちは、何が奏功していて、何が奏功していないかを時間をかけてじっくり検討している。実を言うと、彼らはサイバーセキュリティの枠組みの外に出て、データ侵害やランサムウェア、デジタル版ブラックマンデーに備えた方が得策かもしれないと認め始めている。避けられないサイバーセキュリティイベントからの復旧に備える方法として、以下の対策が提案されている。

　インシデント対応計画を立てる。あらゆる専門家がインシデント対応計画の策定を提案している。おそらくほとんどの企業は既にインシデント対応計画を立てているはずだが、その計画を絶えず評価して、最新の侵害や企業環境で効果を発揮するか確認することが極めて重要である。例えば、主要な連絡先のリストは最新の内容だろうか。

　現在のインシデント対応計画のハードコピーをすぐに利用できるようにしておくことも重要だ。悪人たちがその種の情報を盗んだり、削除したりした事例がある。

　サイバーセキュリティイベントシナリオに従って訓練をする。軍事計画立案者は、未知の事態に備えるのに訓練が有効であることを誰よりも理解している。インシデント対応チームをまとまりのある集団に鍛え上げるのに、さまざまなサイバーセキュリティイベントシナリオからの復旧を訓練すること以上に効果的な方法があるだろうか。

　最新の法律や規制を常に把握しておく。サイバーセキュリティインシデントが発生した後で、どの規制や法律が関わっているのか理解しようと試みるようではだめだ。さらに、法律や規制は不変ではないことも考慮すべきだ。変更や新しい情報を把握する仕事をインシデント対応計画のメンバーに割り当てることが提案されている。

　必要に応じて、外部の助けを求める。「万一の時」に備えて従業員を抱えておくことを経営陣に納得させるのは、非常に困難だ。コンサルタント（法律分野であっても、なくても）なら高コストだが、長期的に見れば、フルタイムの従業員よりもコストが低い場合もある。サードパーティーのベンダーを雇うことには、サイバーセキュリティインシデントに関して、より豊富で広範な経験を有している可能性が高いという利点もある。検討すべきベンダーには、フォレンジック調査員、危機コミュニケーションの専門家、PRコンサルタントなどが含まれる。

　サイバー保険の取得を検討する。企業、特に中小規模企業は限られた予算で経営されており、サイバーセキュリティインシデントからの復旧コストが原因で、破産してしまうおそれもある。サイバー保険は、自社を保護する1つの方法である。これは明らかにリスク評価であり、企業の経営陣が扱うべき問題だ。

　上記のプラクティスが実施されているかどうかは、企業の判断である。最悪のシナリオは、経営陣が自社にとって何が最適かを判断する機会を得る前に何かが起きてしまうことだ。

どれくらい深刻な状況なのか

　サイバーセキュリティインシデントは死と税金と同じくらい避けられないものだという発言は、少し大げさかもしれない。とりあえず、そういうことにしておこう。とはいえ、Ponemon InstituteがIBMの依頼を受けて先頃実施した調査の結果は、強い懸念を抱かせる内容だった。それによると、データ侵害からの復旧にかかるコストは数百万ドルに上るという。この金額は、ほとんどの企業経営者の関心を引き、上で紹介した予防策のいくつかを検討する動機となるだろう。