【Web特別版】サイバーリスクを軽減するための主要なステップ

キンバリー・パトリス・ウォルシュ [*]

ほとんどすべての産業部門でサイバー損失の件数と深刻さが増しているので、官民企業は同様に、セキュリティリスクを合理的な運転資本投資の範囲内で管理するための解決策を模索しながら、サイバーセキュリティを企業全体の優先事項としている。

過去数年間の損失の多くは、リモートワークとハイブリッド職場の集中、第三者とのパートナーシップ、アウトソーシングとITシステムへの企業間アクセス、M&A/企業取引活動の活発化、そしておそらく最も重要なことに、サイバー犯罪者の巧妙化に起因している。サイバー犯罪の全体的な影響は極めて大きい。事実、ある推計によれば、サイバー犯罪は2025年までに世界全体で年間10兆5,000億ドル、毎分2,000万ドルに達する。

規模、面積、産業にかかわらず、どの企業も潜在的なターゲットである。したがって、すべての企業は、保護(例えば、企業ローンやその他の企業問題の保護)と、保険(例えば、サイバー、取引債務など)の両面で、ITセキュリティでの衛生状態を評価し対処する必要がある。特に、サイバー保険会社は、保険引受審査の強化を著しく増加させ、保険料や継続料を増加させ、また、場合によっては、補償範囲の条件や利用可能な補償能力を制限することによって、保険金請求コストの急激な上昇に対応している。この目的のため、ほとんどのサイバー保険事業者は、特定の「ネットへのアクセスゲート」課題が解決または軽減された場合にのみ、包括的な条件を提供するようになっている。

「保険会社は、サイバー保険の保険金請求を減らす上で、どのような統制が最大の影響力を持つのかを理解し始めており、この理解を反映して引受プロセスを変更している」と、ソテリア社共同創業者兼社長ポール・イームはいう。「組織はマルチファクター認証、脆弱性管理、攻撃的イベント検知と対応能力などの基本的なセキュリティ管理を実施できていない場合、サイバーセキュリティ・イベントからの影響を受けるリスクが高くなり、そのため、保険に加入することが難しくなることを理解する必要がある。」

リスクが高まり続けているため、サイバーでの補償範囲を適切に広げることを確保することは、まさかに備えることではなく、むしろ不可欠なこととなっている。さらに、サイバー関連事象の潜在的な破壊的影響を防護、軽減し、データ、システムおよび資金の最大限の回収を確保するために、企業は以下のようなものも含めて、さまざまな行動をとることができる。

・ マルチファクター認証(MFA)を実装する。MFAは、管理対策では費用対効果が最も高く、すべての組織にとって重要な切り札だと考えるべきである。最低限でも、電子メールやその他の重要なインターネットに接続しているサービスにMFAを実装しても安価であり、多くの攻撃を阻止するだろう。
・ リモート・デスクトップ・プロトコル・セキュリティで端末の脅威をカバーする。組織がリモート・デスクトップ・プロトコル(RDP)を使用する場合は、自社のRDPサーバーが公的インターネットを介してアクセスできないかを確認することである。その名にもかかわらず、このサービスは公的にアクセスできるようには設計されていない。
・ システムと設定を積極的に管理する。ほとんどのソフトウェアは、デフォルトではセキュア・マナーは設定さていない。ITセキュリティチームは、ビジネス機能をサポートしつつ、システムをレビューして、できるだけ安全なシステムを構成しなければならない。
・ 継続的にネットワークへの侵入を捜索する。システムは、疑わしい行動がないか継続的に監視されるべきである。新しいテクニックやツールが発見された場合、セキュリティチームは、環境内でこれらのテクニックが使われたどうかの証拠を探さなければならない。組織は、この機能を適切に実装するためには、サードパーティのサイバーセキュリティパートナーを必要とする可能性があることにも注意する。
・ ソフトウェアを迅速に更新し、アップグレードする。優先順位は、公的に接続されているアプリケーションとインフラストラクチャ(インターネット)に与えられるべきである。米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、脅威主体が積極的に利用するソフトウェアと脆弱性のカタログを更新している。組織は、それぞれのソフトウェア・リストをCISAカタログの更新と継続的に比較し、脆弱性に対する対策をアップデートするための適切な措置を講じなければならない。
・ ソーシャルエンジニアリングとサイバーセキュリティに関する定期的な研修を実施する。被害を受けた後に脅威を認識したとしても、脅威を特定し報告するようにユーザを訓練する。詐欺の被害を受けた従業員を処罰することは、効果的に対応する能力を低下させうる。
・ サードパーティのリスク遭遇可能性の脅威を軽減する。どのサードパーティが事業に最も重大な影響を与える可能性があるかを理解し、契約または技術的手段を通じてこれらのリスクを軽減する措置を講じる。
・ システム回復計画を策定し、実行する。すべての組織は、ある時点で何らかの形のセキュリティ・インシデントを経験する。事前対応的でタイムリーな回復を確保するために、対策と回復計画を策定し、実行する。

トピックス
サイバー、保険、リスクマネジメント、セキュリティ、技術

 本翻訳は“Key Steps for Mitigating Cyberrisks”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2022/09/27/key-steps-for-mitigating-cyberrisks) September, 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

キンバリー・パトリス・ウォルシュは、コーポレート・リスク・ソリューションズ(CRS)社の会長兼社長。