リスク管理に関する洞察

  • [アーティクル]

ビジネスの運営には、リスクが伴います。 セキュリティ チームの役割は、セキュリティ リスクがフレームワークにどのように適合するかを意思決定者に通知し、アドバイスすることです。 セキュリティ担当者の目標は、ビジネスについて学習し、セキュリティの専門知識を使用して、ビジネス目標と資産に対するリスクを特定することです。 その後、セキュリティ担当者は、各リスクについて意思決定者にアドバイスし、どれが許容範囲内であるか助言します。 この情報は、これらの意思決定の責任は、資産またはプロセスの所有者が負うという理解のもとで提供されます。

Note

リスクの説明責任に関する一般的な規則は次に示します。

リスクを担当して受け入れる人が、何が問題かについて世間に説明します (多くの場合、TV カメラの前で説明します)。

成熟したとき、セキュリティの目標となるのは、リスクを公開して軽減することであり、その後、最小限のリスクでビジネスを変化させることです。 この成熟レベルでは、リスクの洞察と規模の大きいセキュリティ統合が必要になります。 組織の成熟レベルがどのようなレベルでも、上位のセキュリティ リスクはリスク レジスタで示されている必要があります。 これらのリスクは、許容できるレベルになるまで管理されます。

次のビデオを視聴して、セキュリティの調整と組織内でのリスク管理方法を確認してください。

サイバーセキュリティのリスクの概要

サイバーセキュリティのリスクとは、ビジネス資産、収益、評判に関する潜在的な損害または壊滅的打撃です。 この損害は、資金、情報、またはテクノロジを盗もうとする人間の攻撃者が原因で発生します。

これらの攻撃は技術的な環境で行われますが、多くの場合、組織全体のリスクを表します。 サイバーセキュリティのリスクは、リスクの測定、追跡、軽減のフレームワークに適合させる必要があります。 多くの組織は、現在でも、サイバーセキュリティのリスクを、"解決" すべき技術的な問題として扱っています。 この認識では、戦略的ビジネスへのリスクの影響が軽減されない誤った結論が導き出されます。

次の図は、一般的な技術指向プログラムからビジネス フレームワークへの移行を示しています。

一般的な技術指向プログラムからビジネス フレームワークへの移行を示す図。

セキュリティ リーダーは、技術的な視点から一歩下がり、ビジネス リーダーにとってどのような資産およびデータが重要であるか理解する必要があります。 その後、チームが、ビジネスの重要度との関連で、時間、注意、予算をどのように使用するかについて優先順位を付けます。 技術的な視点は、セキュリティと IT のチームがソリューションを通じて作業する際に再適用します。 ただし、サイバーセキュリティのリスクを技術的な問題としてしか見ない場合、問題解決を誤るリスクを負うことになります。

セキュリティ リスク管理を調整する

サイバーセキュリティと組織のリーダーシップとの間で、より強力な架け橋を構築するために継続的に作業します。 この概念は、人間関係と明示的なプロセスの両方に適用されます。 セキュリティ リスクの性質と、ビジネス チャンスの多様な力学は、常に変化しています。 セキュリティ リスクの発生源では、この関係の構築と改善のために継続的に投資する必要があります。

この関係で重要なのは、ビジネス価値が特定の技術資産にどのように結び付けられるか理解することです。 この方向性がないと、セキュリティ担当者は、組織にとって何が最も重要であるか認識できません。 最重要資産の保護が成功するのは、まぐれ当たりの場合だけになります。

このプロセスは、ただちに開始することが重要です。 最初に、組織内の機密およびビジネス クリティカル資産について理解を深めます。

この変革を開始する一般的なプロセスを次に示します。

  1. 双方向の関係にビジネスを適合させる:
    • ビジネスに適した用語を使用して、セキュリティ上の脅威について説明するために、彼らが使用している言葉でコミュニケーションします。 この説明は、ビジネス戦略とミッション全体に対するリスクと影響を定量化するのに役立ちます。
    • 企業全体の人員と対話して、積極的に話を聞き、学習します。 重要なビジネス サービスと情報が侵害された場合または危害を受けた場合の影響について理解します。 この理解によって、ポリシー、標準、トレーニング、セキュリティ制御への投資の重要性について明確に把握できます。
  2. ビジネスの優先度とリスクに関して学んだことを、次のような具体的かつ持続可能なアクションに変換します
    • 短期的には、重要な優先対象の処理に重点を置きます。
      • 適切なセキュリティ制御を使用して、重要な資産と価値の高い情報を保護します。 これらの制御により、ビジネスの生産性を高める一方で、セキュリティを強化します。
      • ビジネスに影響する可能性が最も高い、新しい緊急の脅威に重点を置きます。
      • 協調を維持するために、ビジネス戦略とイニシアチブの変更を監視します。
    • 長期的には、方向性と優先順位を決め、時間の経過とともに着実に進歩し、セキュリティ体制全体を改善します。
      • ゼロ トラストを使用して、組織のリスクを軽減するための戦略、計画、アーキテクチャを作成します。 これらを、侵害、最小限の特権、明示的な検証を前提とするゼロ トラストの原則に適合させます。 これらの原則を採用することで、静的制御から、より動的なリスクベースの決定に移行します。 これらの決定は、脅威の起点がどこであるかに関係なく、怪しい動作のリアルタイム検出に基づきます。
      • 組織全体でセキュリティのベスト プラクティスを運用することで、一貫した戦略として技術的負債を清算します。 たとえば、パスワードベースの認証をパスワードなしの多要素認証に置き換え、セキュリティ パッチを適用し、レガシ システムを廃止または分離します。 ローンの支払いと同様に、投資から十分な利益や価値を引き出すために、安定した支払いを行う必要があります。
      • データの分類、秘密度ラベル、ロールベースのアクセス制御を適用して、データをそのライフサイクル全体で損失や侵害から保護します。 これらの取り組みでは、ビジネス コンテキストおよび洞察の動的性質と豊富さを完全には捕捉できません。 ただし、これらの主要な実現の鍵は、情報の保護とガバナンスの指針として使用され、それにより、攻撃の潜在的な影響が制限されます。
  3. 正しい行動を明示的に実践、通達し、公的にモデル化することで、健全なセキュリティ文化 を確立します。 この文化では、ビジネス、IT、セキュリティの仕事仲間の間での開かれたコラボレーションに重点を置く必要があります。 その後、継続的学習の「成長思考」に重点を置きます。 文化を変化させる際に、セキュリティ、IT、より大規模なセキュリティ組織からのサイロの排除に重点を置きます。 こうした変化により、より優れた知識共有と回復性レベルが実現します。

詳細については、「セキュリティ戦略を定義する」を参照してください。

サイバーセキュリティのリスクを理解する

サイバーセキュリティのリスクは、資金、情報、またはテクノロジを盗もうとする人間の攻撃者が原因で発生します。 これらの攻撃者の動機と行動のパターンを理解することが重要です。

動機

さまざまなタイプの攻撃者の動機と意欲は、正当な組織におけるそれらを映し出します。

攻撃者の動機を示す図。

攻撃者の動機を理解すると、さまざまな種類の攻撃の発生の可能性や潜在的な影響を理解できます。 セキュリティ戦略と最も重要な技術的制御は組織間で類似しますが、このコンテキストは、セキュリティ投資の重点分野の指針として役立ちます。

詳細については、「攻撃者の投資収益率を毀損する」を参照してください。

行動のパターン

組織は、行動を形成するさまざまな人間の攻撃者モデルに直面します。

  • コモディティ: 組織が通常直面する脅威のほとんどは、金銭上の投資収益率 (ROI) によって突き動かされた利潤追求型の攻撃者です。 通常、こうした攻撃者は、使用できるツールと方法のうち最も安価で最も効果的なものを使用します。 これらの攻撃 (ステルスやツールなど) は、通常、新しい方法が他者によって実証され、大規模に使用できるようになると、より高度になっていきます。

  • 最前線: 高度な攻撃グループは、長期的な目的の成果によって突き動かされ、多くの場合、使用可能な資金があります。 この資金は、イノベーションに重点を置いて使用されます。 このイノベーションには、サプライチェーン攻撃や、攻撃活動における変化する戦術への投資が含まれる場合があり、検出と調査を妨害することが目的です。

典型的な攻撃者を次に示します。

  • 柔軟性がある: ネットワークに侵入するために、複数の攻撃ベクトルを使用します。
  • 目的のために行動する: 環境にアクセスすることで定めた目的を達成します。 目標は、人員、データ、またはアプリケーションに固有の場合もありますが、特定のクラスのターゲットに適合する場合もあります。 たとえば、「データやシステムへのアクセスを復元するために支払う可能性が高い、収益を上げている企業」などです。
  • 内密的: 予防措置を取り、通常、さまざまな投資および優先度レベルで、証拠を隠滅したり、痕跡を隠したりします。
  • 忍耐強い: インフラストラクチャやビジネス環境を理解するために、時間をかけて偵察を行います。
  • 十分なリソースとスキルがある: スキルの熟練度はさまざまですが、ターゲットとするテクノロジについて教育を受けています。
  • 経験豊富: 確立された手法とツールを使用して昇格された特権を取得し、資産のさまざまな側面へのアクセスや制御を行います。

次のステップ

リスク管理を効果的に行うために、ガバナンスとコンプライアンス アクティビティのあらゆる側面にそれを取り入れる必要があります。 リスクを適切に評価するために、セキュリティを包括的なアプローチの一部として常に考慮する必要があります。