This post is also available in: English (英語)
「今セキュリティに投資すれば後々大きな節約になる」その理由
本稿は2部構成でお送りするブログ シリーズの第2回です。サイバーセキュリティ インシデントへの対応にかかるコストと、インシデントの予防にかかるコストを細かく比較していきます。サイバーセキュリティの価値と、賢いお金の使い方を学びましょう。
従業員トレーニング
従業員、プロセス、テクノロジの中で、従業員は組織のセキュリティ対策において常に最も脆弱な要素です。組織には非常に詳細なセキュリティ対策プロセスと一流の技術ソリューションがあっても、従業員が適切なトレーニングを受けていなければ、セキュリティはほとんど無意味です。洗練され、新しく、業界に関連するサイバーセキュリティのトレーニング教材を従業員に提供してください。シンプルな資料や古いPowerPointスライドで十分であった時代は過ぎました。年次トレーニングや、従業員が入社時に修了する必要があるトレーニングを提供するだけでなく、組織文化にセキュリティ意識を確実に浸透させます。毎月、新しいモジュールの修了を要求し、頻繁にフィッシング キャンペーンを実施します。つまり、悪意のある電子メールを適切に報告した従業員に少額のインセンティブを提供することにより、動機付けを与えます。サイバーセキュリティの意識向上と従業員の全体的な知識に投資することは、長期的なセキュリティ体制を向上させるための最善の方法です。
規制要件の理解
時間をかけて、自社のビジネスが遵守しなければならない規制要件を理解します。組織がサイバーセキュリティ攻撃の被害を受けた場合、知らなかったと主張しても、CCPAやGDPRなどの規制に関連する高額な罰金を免れることはできません。自社のビジネスが特に複雑な環境を有し、多数の顧客情報や個人医療情報(PHI)を扱っている場合、最高プライバシー責任者またはvCISO (virtual CISO)を採用することが有益な場合があります。この責任者は、顧客データが適切に保護され、すべての適用される規制要件がビジネスによって確実に遵守されることに、特に重点を置く必要があります。
インシデント レスポンス手順の反復的な演習
「継続は力なり(practice makes perfect)」という言葉がありますが、インシデント レスポンスも例外ではありません。インシデント レスポンス計画をテストした組織のデータ侵害コストとテストを実施しなかった組織のコストを比較すると、平均約200万ドルのコスト削減が生じることが判明します。
しかし、多くの組織は、高速道路を時速100マイルで運転しながら、自動車を組み立てているような状況です。このような組織は事故に遭い、誰もどのように対応すべきかを知りません。
- インシデント レスポンス計画を3年間更新しなかった。
- 担当者の電話番号が正確ではない。
- サイバーセキュリティ保険に加入していなかった。
- 報告要件が明確になっていない。
このように、状況が悪くなる可能性は無限にあります。
サイバーセキュリティ インシデントに対するトリアージ作業は、極めてストレスの大きい体験です。少なくとも年2回の机上演習またはシナリオに基づく対話セッションを通じてインシデント レスポンス計画をテストすることにより、ストレスを軽減し、コストを節約してください。テスト演習の直後に必ず「教訓」について話し合い、適切に機能したインシデント レスポンス方法と見直しが必要な項目を特定します。最後に、対策を講じ、現行のインシデント レスポンス プロセスに対して提案された拡張または変更で、インシデント レスポンス計画および関連するポリシーを確実に更新します。
自らの弱点を知る
影響を受けやすいことを認識していない脅威から自らを保護することはできません。組織全体でサイバーセキュリティ リスクの評価を毎年実施して、従業員、プロセス、テクノロジについて検討します。米国国立標準技術研究所(NIST)やCybersecurity Framework (CSF)などの確立された業界フレームワークに基づいて、詳細なサイバー リスク評価を専門とする外部ベンダーの活用についても検討してください。特定されたリスクは、関連するリスクを十分に修復または軽減するために実施できる詳細な推奨事項に関連付ける必要があります。ほとんどの場合、評価結果と推奨事項は、優先順位の指定または戦略的実装ロードマップに組み込まれます。これらは、現在のセキュリティ体制に対して最も影響をもたらす方法を決定するために使用できる貴重なツールです。
攻撃に備えて復元可能なバックアップを作成する
本レポートで前述したように、ランサムウェアは2019年に第1位の攻撃手法でした。復元可能なバックアップがなければ、文字どおりビジネスの生殺与奪の権をサイバー犯罪者の手に渡すことになります。Unit 42が作成した2020年のインシデント レスポンスおよびデータ侵害レポートによると、増加しているインシデントには、バックアップの削除や無効化が含まれています。バックアップを定期的に作成してテストし、バックアップの復元プロセスについて十分に精通してください。最も重要な点は、ネットワークに接続されていない場所にバックアップを保管して、適切なセキュリティ対策で保護することです。これにより、アクセスした攻撃者がバックアップを無効化または削除して、復元を阻止することが不可能になります。
専門家の採用
すべてを単独で行う必要はありません。サイバーセキュリティ コンサルタントや社外パートナーと契約することは、組織がセキュリティに固有な専門知識を手に入れるための優れた方法です。サイバーセキュリティ コンサルタントは、現在のベスト プラクティスと業界トレンドに詳しいことが多いため、この分野で現在効果的なテクノロジに関して新しい洞察を提供できます。組織のセキュリティ ソリューションの強化を目指しているか、業界のベスト プラクティスに関して外部の観点を取り入れることだけを求めているかにかかわらず、社外の専門家との関係を築くと、強力なネットワークを利用できるようになります。
最終考察
セキュリティ侵害は、想定以上の被害をもたらす可能性があります。サイバーセキュリティ機能に先行投資する初期費用は高コストに思われるかもしれませんが、長期的には組織で多額のコストが削減される可能性が高くなります。サイバーセキュリティに対する戦略的な先行投資は、今日の複雑で危険なサイバー環境で成功することを望んでいる組織には不可欠です。
サイバー インシデントの予防・対策に関する支援が必要な場合は、infojapan@paloaltonetworks.comまでご相談ください。
このシリーズの第一回、サイバーセキュリティインシデントの本当のコスト: 問題編
資料
Unit 42が作成した2020年のインシデント レスポンスおよびデータ侵害レポート