HCL BigFix: 100％安全なコンピュータ： サイバーリスクに関する経営管理に関する FOCUS

2022/11/10 - 読み終える時間: 3 分

The 100% Secure Computers: FOCUS on Business Management of Cyber Risk の翻訳版です。

HCL BigFix: 100％安全なコンピュータ： サイバーリスクに関する経営管理に関する FOCUS

2022年11月7日

著者: Robert Leong / Senior Director and Head of Product Management

対象者 サイバーセキュリティの専門家、CEO/ビジネスユニットのリーダー、SecOps.

休日になると、いつもある家族の動きが繰り返されることをご存知でしょうか。例えば、休日の集まりに医者がいれば、必ず医学的な質問をされます。私はサイバーセキュリティに携わっているので、どんな質問を受けるか想像してみてください。そう、私はいつもサイバーセキュリティの質問をされるのです。もしかしたら、あなたにも同じことが起こるかもしれません。

ある休日の集まりで、成功したビジネスマンである家族が私に尋ねました。「ロバート、自分の会社がハッキングされないか心配なんだ。最も安全なコンピュータは何？私はこう答えました。「最も安全なコンピューター？ユタ州のローガンに行って、そこの埋立地に埋まっている Apple Lisa コンピュータを引き取ることだ。100％安全なコンピュータは、電源を切って地中深く埋められたものだけだからね」。皆で笑った後、ビジネスパーソンとしてビジネス上の判断でサイバーリスクを減らすことがいかに難しいかを話し合いました。その結果、彼の組織でサイバーリスクを明らかに減らすには、どのような戦略が有効かという話になりました。この会話は、彼や他の人々が直面している問題についての分析を呼び起こしました。どうすれば、リーダーはサイバーリスクを管理するためのビジネス上の意思決定を行うことができるのか？

では、分析してみましょう。私の家族は、自分たちの組織がハッキングされるかもしれないと心配していました。ハッキングされると、明らかな損害以外に何が起こるでしょうか？ハッキングされたとき、誰もサイバーセキュリティ技術の数やコスト、肩書きに「サイバーセキュリティ」を持つ人の数であなたを評価しようとはしません。あなたが導入しているツールやプロセスの正当性に基づいて、厳しく判断されるでしょう。明確に論理的で防御可能な、バランスの取れたアプローチを示す戦略とフレームワークが必要です。では、具体的にどのようにすれば、正当化可能でバランスのとれたサイバーリスク戦略を構築できるのでしょうか。

まず、問題点について説明する必要があります。サイバーセキュリティの状況を見渡すと、ベンダーと防衛側の両方が、ある能力や性能を達成するためにツールやプロセスを導入していることが大部分を占めています。ここで、優れた標準である CIS、特に CIS Control 7 「継続的脆弱性管理」を見てみましょう。CIS コントロール 7、つまり継続的な脆弱性管理は、組織に以下を要求しています。

• 7.1 脆弱性管理プロセスを確立し、維持する
• 7.2 改善プロセスの確立と維持
• 7.3 自動化されたオペレーティングシステムのパッチ管理の実施
• 7.4. 自動化されたアプリケーションのパッチ管理を行う
• 7.5. 内部企業資産の自動脆弱性スキャンの実施
• 7.6. 外部に公開された企業資産の自動脆弱性スキャンを実施する
• 7.7. 検出された脆弱性を修正する

この管理策は、組織が脆弱性管理機能を論理的に実装し、攻撃の試み中に敵対者に悪用されないようにするための指針として、非常に優れた役割を果たします。このコントロールが議論していないことに注意してください。CISの管理策7やその他の管理策の実施によるサイバーリスクの低減をどのように評価しますか。成功をどのように定義し、どのようにそれを測定するのでしょうか。

この問題は、サイバーセキュリティの旅路における次の段階、すなわち測定と証明の段階に進むためのものです。CIS のようなフレームワークは、サイバーセキュリティの分野で素晴らしいスタートを切るために必要な体制やガイドラインを整える上で、非常に有効な手段です。これらのフレームワークは、ステークホルダーに対して正当化できるレベルを持つために必要なものを教えてくれます。しかし、重要なのは、CISのようなものを導入した後、それを理解する前に侵害が発生することを最も避けなければならないことです。"私のサイバーセキュリティはうまく機能しているのか？"その答えは、多くの場合、"NO！"なのです。

私たちが望むのは、侵害される前に、正当で測定可能な効果的でバランスの取れた管理ができているかどうかを把握し、インシデントが発生する前にサイバーセキュリティツールとプロセスにおいて修正措置を講じる機会を持つことです。ですから、私たちは、CIS（およびその他の優れたモデルやフレームワーク）に従うべきではないと言っているのではなく、次のステップを踏み出す必要があると言っているのです。

さて、あなたがCEOだとします。自分に問いかけてみてください。「サイバーリスクを管理するために、私はどんなビジネスツールを使っているだろうか？もしあなたの答えが、「うーん、何も思いつかない」なら、ぜひ読み進めてください。私たちは、今、サイバーリスク管理の責任を問われている相当数のCEOにインタビューしてきました。問題は、その中で「良い方法がある」と言った人すらいないことです。

これは、ビジネス上の意思決定と、サイバーセキュリティとビジネスの遂行との間のバランスを見つけることに関する基礎的な原則を作成する機会を提供するものです。ビジネスとセキュリティの間には、明らかに動的な緊張関係があります。一例を挙げましょう。今朝、ビデオ会議に参加しようとしたら、ノートパソコンから「パスワードを再入力してから、携帯電話で多要素認証を行う必要があります」と言われました。あらら。携帯は1階にあるので、1階から探し出してロックを解除し（やばい！電池が切れそう！）、プラグを差し込んでから、携帯に指紋をつけた。そのせいで電話に2分ほど遅れてしまった。そう、ビジネスを成功させることと、優れたサイバーセキュリティの間には、摩擦があるのです。

さて、サイバーセキュリティとビジネスのバランスをどのようにとるか、その戦略に戻りましょう。その際、それが組織全体にとって有効かどうか、また従業員、規制当局、投資家、株主などの利害関係者の目から見て正当なものかどうかを測定・分析できるようにします。

私たちは、今後のサイバーセキュリティへの取り組み方を分析するために、4つの基本的な概念を定義しました。これらをSecurity F.O.C.U.S.のコンセプトと呼んでいます。

BigFixでは、ビジネスとサイバーセキュリティの間に存在する動的な緊張について考え、解決する方法を与えてくれるため、サイバーセキュリティ製品を設計する際にこれらの概念を使用して基本原則を設定しています。この原則は、セキュリティとビジネスを管理する主要なステークホルダーが、両者を結びつける共通言語を持つために役立つものであるため、ここで共有することにしました。この原則は、皆さんにとっても価値があると思います。

FOCUS の概念を使用して、組織がサイバーセキュリティについてどのように戦略を立てるかを導くことで、ビジネスとセキュリティのニーズのバランスを同時に取る制御を見つけ出し、実施することができるようになります。さらに、SecOps や ITOps のような高度に技術的なチームが、CEO、ビジネスユニットのリーダー、デバイス所有者のような非技術的なステークホルダーと実りある議論や戦略セッションを行うことができるようになるのです。

これはブログなので、FOCUSの各コンセプトを簡単に定義して、終わりにしたいと思います。それぞれはそれぞれのブログで紹介する価値がありますが、とりあえずは以下の内容を参考にしてください。

F = Friction（摩擦）：ビジネスと保護のバランス

• このコンセプトは、ビジネスとサイバーセキュリティの保護とのバランスを示し、測定し、維持することです。どの程度の摩擦が存在するのか？摩擦が大きすぎて、ビジネスの速度が低下していませんか？面倒な要素よりも利点の方が勝っていますか？それを測定し、バランスが取れていることを確認する方法はありますか？

• また、サイバーセキュリティに関わる主要なステークホルダー間の摩擦を減らすことも目標です。具体的には、各ステークホルダーがそれぞれのミッションを追求する中で、セキュリティ管理者、IT管理者、Cスイート、デバイス所有者間の摩擦を減らすことが挙げられます。

O = Outcomes（成果）：望ましいサイバーセキュリティの成果を得ていますか？

• このコンセプトは、セキュリティ・プログラム、ツール、およびプロセスが、望ましいセキュリティとビジネスの成果を生み出しているかどうかを定義し、測定し、管理することです。サイバーリスクを定量的に低減できているか？どうやって知っているのですか？どのように測定しているのですか？

• また、SecOps、ITOps、C-Suite、デバイスオーナーが共にセキュリティ成果を容易に目標設定し達成できるようにし、それが起きたことを測定し証明できるようにすることが目標である。

C, U = Consistency and Uniformity（一貫性と均一性）：サイバーセキュリティは、組織全体で長期間にわたって均等に機能していますか？

• この概念は、これらの特性を示すべきシステム全体にサイバーセキュリティを適用している場合に適用されます。例えば、何千台もの同じラップトップがある場合、これらのラップトップ全体のサイバーセキュリティ評価は一様で、似ていて、多様性に欠けるものでしょうか？評価は一貫しており、時間の経過とともに変化していないでしょうか？特定のデバイスや担当者が「コンプライアンス違反」を繰り返していないか？これを知ることで、介入が必要な問題箇所を発見することができます。

• また、SecOps、ITOps、C-Suite、デバイス所有者などの関係者が、全体として一貫性のある、均一な経験を達成できるようにすることが目標です。

S = Sufficiency（十分性）：セキュリティはビジネスとステークホルダーの期待に応えていますか？

• このコンセプトは、セキュリティプロセスがビジネスANDサイバーセキュリティのニーズを満たし、十分であるか、バランスが取れているかを判断することです。サイバーセキュリティの成果が得られているというだけでは十分ではありません。サイバーリスクが全体として許容できるレベルにあると言えるほど、適切な場所で十分な成果を得ているのでしょうか？組織ごとにリスクに対する許容度は異なるので、その点も考慮する必要があります。ある組織にとって十分であっても、すべての組織にとって十分ではありません。

• また、期待に応えるために十分なセキュリティを確保し、保護とビジネスのバランスをとるための自動化とプロセスを構築することが目標です。利害関係者がサイバーセキュリティとビジネスにおける目標を達成するために必要なものを十分に確保すること。 以上、Security FOCUSのコンセプトの概要を簡単にご紹介しました。ITOps、SecOps、C-Suite、およびDevice Ownersを統合し、連携させるソリューションをリリースしているため、これらのコンセプトが当社の製品全体に反映されていることがおわかりいただけると思います。このレベルの戦略的思考は、サイバーセキュリティ能力の存在を示すチェックリストから、サイバーリスクの実用的なビジネス管理へと私たち全員を移行させるのに役立つでしょう。

BigFixの詳細については、www.BigFix.com をご覧いただくか、お問い合わせください。