Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

【Web版】『Risk Management』24年1-2月号
2024-03-18

Risk Management

【Web特別版】

1-2月号

RISK MANAGEMENT 1-2月号
INDEX

2024年上位5リスク - その軽減方法

ジェニファー・ポスト[*]


 リスク専門家が2024年以降に目を向けるにあたり、監視し、備える必要のある重要なリスクが数多く存在する。エーオン社が毎年実施しているグローバル・リスクマネジメント調査によると、以下の5つの現在のリスクが、2024年にリスク担当者や経営者が最も懸念している事項であり、そして、同社の重要な緩和策のいくつかも以下のとおりである。

1. サイバー攻撃またはデータ漏洩

 調査回答者は、サイバー攻撃および、またはデータ漏洩を2024年の上位に挙げており、18%が過去12ヶ月間にサイバー関連リスクが自社の損失に影響を与えたと回答した。2022年に減少したランサムウェア攻撃は、2023年上半期に176%急増したと報告されている。プラスの話題としては、89%がサイバーリスクに対応する計画を立てていると回答している。サイバー攻撃やデータ漏洩の影響を軽減するために、本報告書は以下の4つの主要戦略を概説している。

サイバーリスクを特定し、評価する。エーオン社は、将来のサイバーリスクを軽減、回避、移転することに向けて、経営者の意思決定に対して情報を提供するため、あらゆるリスク遭遇可能性と影響に関連するデータと洞察を収集し、検討することを提案した。

サイバーリスクを軽減する。サイバー関連のリスクを軽減するためには、新しい技術と同時に進化する脅威を常に掌握すること、サイバーセキュリティ対策を遵守することの重要性を強調するために組織全体でサイバー防衛研修を実施することなど、多くのことが必要である。
 サイバー・インシデントへの対応と復旧に備える。偶発的なものであれ、悪意のあるものであれ、現時点では不幸なことに、サイバー・インシデントは避けられない。すべての組織は、インシデント対応、封じ込めおよび調査に向けた取り組みを整備すべきである。

サイバーリスクを移転する。財務上での強靭性を確保するためには、リスク移転が重要である。伝統的な保険に加え、キャプティブ保険や代替的な資本も、貸借対照表を保護するために、組織によっては実行可能なアプローチである。

2. 事業中断

 その原因が自然災害であれ、世界的なパンデミック、あるいは政治的紛争であれ、損失は甚大なものとなり、組織をリスクにさらすことになる。多くの複雑な問題が常に登場する中、回答者は事業中断を2番目に高いリスクとして挙げている。事業中断による損害賠償請求は、組織が手に負えないものであることが多いが、エーオン社は、損害を軽減するためのベストプラクティスをいくつか提示した。

  • 危機管理・事業継続計画を定期的に見直し、更新する。
  • 事業中断の関連要因であるサプライチェーン・リスクを軽減するため、在庫の受入れ先を複数にする。
  • 事業中断計画を更新し続けるために、保険ブローカーと定期的に連絡を取る。
  • 復旧に注力しながら、可能な限りの事業運営を維持する。
3.景気減速あるいは緩やかな景気回復

 消費者が軽はずみな出費を減らしたり、通常の購買に代わる代替手段を求めたりする中、企業は収益の減少、サプライチェーンの混乱、資金調達の問題、労働力および人材配置の問題といった形で景気後退の影響を感じている。銀行危機やCOVID-19パンデミックの長引く影響も、直近の景気低迷の一因となっている。

 エーオンの調査によると、景気の減速は10年に1度程度起こるが、それは科学的に証明されたものではない。経済減速の影響に備えるために、エーオンは組織に次のことを推奨している。

手元現金を増やす。可能であれば、収益が減少している期間であっても、金融上の債務に応じることができるように、手元にある現金の額を増やすことに重点を置く。

労働力での混乱を最小限に抑えるための戦略を実施する。例えば、スキル評価やジョブ・アーキテクチャー(企業内の役割を理解するための組織的な枠組み)計画を実施することで、従業員のスキル再教育や他の分野への異動の機会を特定するために、組織に対して詳細な洞察力を提供する。

関連するリスクへの注力を強化する。景気減速時に回復や維持に注力することは素晴らしいことだが、サイバー攻撃、サプライチェーン問題、規制上のリスクなど、その他の関連リスクに目をそむけない。

多様化する。景気が減速または減速から回復している間に、投資戦略、サプライチェーン、顧客基盤を切り替えて、事業を最大限に活用する。

4.トップ人材の採用または確保での失敗

 トップ人材の採用と確保は、長年にわたってビジネス上の課題であり、それはすぐに変わることはないだろう。企業は常に、トップ人材の必要性と財政的責任を果たす必要性との間のバランスを取るために悪戦苦闘しており、時には厳しい選択を迫られることもある。最近のインフレは終わりに近づいているように見えるが、企業は、資材やその他の大規模な支出にかかる高コストからの持続的な影響からまだ揺らいでいる。その結果、雇用を全面的に停止するか、あるいは給与体系を低く設定するかで、トップクラスの候補者を獲得することが難しくなっている。また、労働者はさまざまな労働条件を求めるようになっている。例えば、パンデミック時にはリモートワークがブームとなったが、現在では多くの労働者は、対面でのオフィスワークを必要とする企業は就職先として検討することすらしない。特に、多くの能力がある従業員は、より手ごろな価格の住宅がある場所に住むことを選択しているが、それが必ずしも一流企業の所在地と一致するとは限らない。

 エーオンによると、トップ人材の採用と確保の機会を失わないための1つの方法は、生活コストの上昇を認識し、基本給の引き上げ、あるいは自社株購入権取得などの形で、給与体系を改善することだという。

5.規制または法律の変更

 規制当局や政治家による継続的な活動は、何千もの企業に影響を与えている。組織は、最新の変化の状況を常に把握し、規制を確実に遵守しなければ、多額の罰金やその他の潜在的な結果が生じる可能性がある。エーオンによれば、組織にはこうした影響を緩和するためのいくつかの選択肢があり、その中には以下のものが含まれる。

  • 法規制の変更を追跡し、コンプライアンス対策を実施するための社内チームを設置する。
  • 新しい法規制の策定、可決、実施に影響を与える方法をみつける。
  • 新しい規則を従業員に明確に伝える

トピックス
サイバー、事業中断、コンプライアンス、経済、リスクマネジメント


注意事項:本翻訳は“2024’s Top 5 Risks—and How to Mitigate Them ”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2024/02/15/2024-s-top-5-risks-and-how-to-mitigate-them ) February 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェニファー・ポストは本誌編集者。

サイバーセキュリティ訓練をより効果的なものにする方法

ショーン・マクアルモント博士[*]


 サイバーセキュリティ意識向上訓練の中心的な考え方の1つは、全員が会社の安全を守る責任を負うということである。サイバーセキュリティとリスクマネジメントの専門家は、組織のあらゆるレベルの従業員と効果的なコミュニケーションを図り、サイバーセキュリティに十分に関与し続けるために、他の企業の経営者と協力しなければならない。企業方針や職場の訓練内容は、一般的にスクリーンに目を釘付けにすることで知られているわけではないが、長期的な行動変容を生み出すために、従業員がサイバーセキュリティガイダンスに注意を払うようにする方法がある。

 エンゲージメントの重要な要素は、重要性、個人に合わせること、機会である。実際に被害を与えたソーシャル・エンジニアリング攻撃の例など、サイバーセキュリティの概念や訓練の内容が、実社会のシナリオにどのように適用されるかが分かると、従業員はより集中するようになる。さらに、訓練が明確で説得力のある非技術的な言葉で行われれば、誰もが理解し、改善することができる。しかし、すべての従業員はそれぞれ異なり、心理的リスク要因、行動パターン、学習方法が異なるため、最終的には訓練に個別のアプローチが必要になることを忘れてはならない。

 サイバーセキュリティ意識向上訓練への関与と効果を高めるために、以下を検討する。

誰もがサイバーセキュリティの役割を果たすことを強調する

 従業員は、安全なネットワークにハッキングし、マルウェアを埋め込み、データを盗むための洗練された手法にアクセスできる狡猾なサイバー犯罪者をすぐに思い浮かべる可能性があるため、サイバーセキュリティは恐ろしいテーマになる可能性がある。従業員は、サイバー脅威の状況に対して健全な関心を持つべきであるが、適切な訓練を受けていれば、サイバー攻撃の大部分を防ぐことができる。この力強いメッセージを従業員に伝えることは、IT、サイバーセキュリティ、リスク専門家が組織全体のサイバー防御を構築するために必要な同意を確保するのに役立つ。

 ベライゾン社(米地域通信最大手)による最新データ漏洩調査報告書によると、データ漏洩の74%は「人的要素を含む」ものであり、これにはエラー、盗まれた認証情報、様々な形態のソーシャル・エンジニアリングが含まれる。一方、IBM社のデータ漏洩のコストに関する調査レポートによると、データ漏洩の最初の攻撃経路として最も一般的なのはフィッシングである。訓練の重要性を組み立てる際には、このような統計や、最近のMGMリゾーツ社(ネバダ州ラスベガスに本社を置く統合型リゾート運営会社)への攻撃といったような、フィッシングのようなソーシャル・エンジニアリングの手口が、大規模なデータ漏えいにつながった実例を用いることを検討することである。新入社員向けであれ、経営幹部向けであれ、このような文脈は、サイバーセキュリティにおいて誰もが果たすべき役割を担っているという本質的なポイントを伝えるものである。

個人に合わせることの力を活用する

 職場のコミュニケーションや訓練のあまりに多くの形態が、画一的なモデルで運営されており、異なる性格、知識レベル、学習スタイルを把握していない。心理的な感受性から行動パターンに至るまで、個々の従業員の特性は、サイバー攻撃を特定し防止する能力に劇的な影響を与えるため、コミュニケーションの個人に合わせることを怠れば、サイバーセキュリティ教育において重大な問題を引き起こす可能性がある。さらに、一般的で個人に合っていないメッセージングでは、従業員の注意を引き付け、維持できる可能性は低い。

 実際、個人に合わせること従業員のエンゲージメントに不可欠である。ギャラップ社によると、仕事に没頭する従業員は25%未満であり、そのために企業は毎年、生産性の低下や離職によって莫大な損失を被っている。ギャラップ社の従業員エンゲージメント調査では、従業員をユニークな個人として扱うことが、従業員のエンゲージメントを維持するために不可欠であることが分かった。企業がサイバーセキュリティコミュニケーションを個人に合わせると、サイバーセキュリティ訓練がより的を絞った効果的なものになるだけでなく、従業員が望み、必要とする個人への配慮を従業員に提供することで、支援も構築することができる。

 サイバー犯罪者は、攻撃を計画する際に、広範な心理的脆弱性を悪用する。例えば、フィッシング攻撃に着手するサイバー犯罪者は、受信者に恐怖感や緊迫感を与えるため、IRS職員や企業幹部などの権威者になりすますことがよくある。一部の従業員は、衝動性、恐怖心、服従などのさまざまな性格特性のために、他の従業員よりもこうした詐欺に引っかかる可能性が高くなる。セキュリティリーダーは、フィッシング・シミュレーションなどの評価を使用して、従業員のこれらの特性の一部を特定し、弱点に対処しながら心理的な強みを強化する教育コンテンツを提供することができる。

サイバーセキュリティのスキル向上の機会を強調する

 世界経済フォーラムの仕事の未来レポートでは、今後3年間で労働者の60%が新たな訓練を必要とすると予測しており、マイクロソフトの調査では、企業経営者の82%がAI時代に向けた新たなスキルを必要としている。これらは困難な課題のように思えるかもしれないが、成人の75%以上が、雇用可能な状態を維持するために新しいスキルを学ぶか、さらには「完全に再訓練する」と回答しており、従業員と組織の両方にサイバーセキュリティのスキルを向上させる機会が生まれている。

 従業員が専門能力開発や教育にますます関心を持つようになっている時代には、サイバーセキュリティとリスクマネジメントの専門家は、サイバーセキュリティ意識向上訓練に対する利害関係者の支援を構築するために、この要求を活用すべきである。あまりにも長い間、従業員は、職場訓練を面倒なつまらない作業とみなしており、必須のHRコンテンツをできるだけ早くクリックして、「訓練修了」の確認を受けるだけであった。学んだ具体的な教訓や役立つヒントを持って訓練を終了すると、スキル開発の感覚が高まり、時間の投資に対するより多くのメリットが得られようになる。

 従業員のサイバーセキュリティスキルを強化することは、組織にとって最も影響力のあるサイバーリスク軽減のための投資の1つとなりうる。IBMの報告によると、従業員の訓練はサイバー攻撃のコストを削減する上で最も重要な要素の1つであり、暗号化や脅威機密情報などの一般的なサイバーセキュリティ対策に比べてより大きな影響がある。サイバーセキュリティとリスクマネジメントの専門家が、意識向上訓練に対する利害関係者の支援を増やし、より強力な組織の中に広まった防御を確立できれば、この影響は大幅に増大する可能性がある。企業の取締役がサイバーリスクに関して経営幹部と連携するにつれて、サイバーセキュリティへの投資が拡大しており、意識向上訓練は、企業の安全性を高めるしっかりとした実績のある費用対効果の高いツールである。

 コミュニケーションは、セキュリティリーダーが会社全体からの賛同を得た場合にのみ効果的である。これは、サイバーセキュリティについて従業員と話し合う方法を知ることから始まる。コミュニケーションと訓練が重要であり、個人に合わせたものになっていて、従業員に負担ではなく機会として提供されるようにすることで、サイバーセキュリティとリスク専門家は、より堅牢で持続可能なサイバーセキュリティの文化を構築することができる。

トピックス
サイバー人材、リスクマネジメント、セキュリティ、技術


注意事項:本翻訳は“How to Make Cybersecurity Training More Effective”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2024/02/20/how-to-make-cybersecurity-training-more-effective ) February 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ショーン・マクアルモント博士は、サイバーセキュリティ意識向上訓練のNINJIO社CEO。

第三者によるサイバーリスクに対する防衛を強化する

ブラッド・ヒッバート[*]


 

 ダラー・ツリー(1ドルショップチェーン)、バンク・オブ・アメリカ、コムキャスト(ケーブルテレビ会社)、コロニアル・パイプライン(石油パイプライン大手)に共通するものは何だろうか。残念なことに、この4社はいずれも注目を集める第三者によるデータ漏洩を経験しており、同様の被害を受けた大規模かつ増え続ける企業のリストに加わっていることである。

 第三者によるデータ漏洩は、悪意のある行為者が供給業者、サプライヤー、請負業者、その他の組織に侵害し、被害者の顧客、クライアント、パートナーの機密情報やシステムにアクセスすることで発生する。このような情報漏えいは、直接的なコストと、機密情報が漏洩した後の風評被害の両方において、企業に多大な損失をもたらす可能性がある。

 ガートナー社(スタンフォードに本拠を置くITアドバイザリ企業)によると、第三者サイバーセキュリティリスクマネジメント(TPCRM)への投資が増加しているにもかかわらず、過去2年間に第三者関連の業務中断を経験した企業は45%に上った。第三者リスクマネジメントソフトウェア会社プリヴァレント社の調査によると、さまざまな業種の企業の41%がこのような侵害を経験しており、71%が重大な懸念事項と考えている。

 過去1年間の第三者によるサイバーインシデントの傾向から、2024年以降、以下のようなタイプのリスクが増えると予想される。

  • ソフトウェアやサービスの障害とサプライチェーンの侵害
  • 特権およびアカウントベースの攻撃
  • マルウェアの感染・拡大
  • 不正使用・不正アクセス
  • サービス妨害攻撃
  • 第3レベルおよび第4レベルのパートナーおよび供給業者における侵害およびインシデント

 しかし、パートナーや供給業者の組織を標的にした侵害であっても、企業はこうした侵害に対して無防備ではない。第三者のサイバーリスクに対して最善の対処をするためには、その特異な性質を理解し、企業が防御を強化するためにできること、また取らなければならない包括的な手順を理解することが不可欠である。

課題を理解する

 第三者リスクの観点から、企業はいくつかの主要な課題に直面している。第1に、多くの企業は、データやシステムへのアクセスを共有するすべての第三者の完全な在庫リストを持っているわけではない。例えば、セキュリティへの影響を検討したり、ITセキュリティの賛同を得たりすることなく、サービスを立ち上げたり、AIの購読料の支払いを開始したりすることは比較的容易である。その意味で、AIは新たな「シャドーIT」とみなすことができる。貴社の組織は、企業内のあらゆる場所でどのようなツールが使用されているかを把握し、これらのツールの安全な使用を確保するために優れたITガバナンス・プロセスを導入する必要がある。

 もう一つの課題は、多くの組織のリスク評価プロセスにおいては、供給業者、サプライヤー、その他の第三者が積極的には参加していないことである。供給業者は、SOC2やISOの認証を完了し、それらの監査報告書が、顧客がリスクを評価するために必要なすべてを提供していると信じているかもしれない。ただし、このプロセスには通常、ビジネスに対するリスクの影響に関するより詳細な分析、統制マッピング、および広範な視点が含まれるが、それには内部統制のより深い検査が必要である。

 多くの企業は、このような重要なステップを単に省略したり、ざっくりとした調査しか行っていない。リスク評価と分析を自動化する製品は、契約が締結され、そしてビジネス協定が確定される前に、すべての関係者がリスクを正確に評価することを容易かつ迅速化するのに役立つ。

第三者のサイバーリスクを管理する方法

 企業が信頼する第三者供給業者の多くは、コンプライアンス規制を満たすため、あるいは許容可能なセキュリティ体制を維持するための徹底的な措置を講じていない可能性がある。詳細なデューデリジェンスを実施し、インシデント対応プロセスを確立することは、第三者とのパートナーシップにおいて重要なサイバーリスクの検討事項である。以下の5つの対策は、どのような企業にとっても、第三者によるデータ漏洩のリスクを最小限に抑えるのに役立つ。

1.より良い第三者ガバナンスのために、調達チームのプロセスを見直す。標準的なコンプライアンス・チェックに加え、新規供給業者の募集、選定、取引の開始の際に内在するサイバーリスクを理解することで、潜在的な脆弱性をより可視化し、適切なデューデリジェンスの道筋を定めることができる。

2. リスクレビューを優先順位付けする。第三者のリスク点検・審査は、第三者がコンプライアンスを証明するために必要な管理を定義することから始めるべきである。次に、セキュリティレビューの頻度を決定し、第三者のリスクに対処するための修復および仲裁プロセスを定義する。

3. 第三者のインシデント対応手順をテストする。第三者のサイバーインシデントに対処するためのインシデント管理プロセスを定義し、机上演習を活用して対応とコミュニケーションを継続的にテストする。このプロセスにより、侵害時のコミュニケーションを改善し、最終的にはインシデント発生時の回復時間を短縮することができる。

4. 侵害が発生した場合、アクセスとシステムを隔離する。ローカルホスト制限、ネットワークアクセス制御、権限制約、およびアカウント削除/ロックを活用して、攻撃者がネットワーク全体を自由に移動するのを阻止する。

5. 第三者の侵害や脆弱性を継続的に監視する。影響を受けるソフトウェアやプラットフォームからの内部動作、供給業者やその他の関係者とのアクセス、評判および脅威インテリジェンスサービスを監視して、貴社組織への影響を判断する。外部脅威の状況を監視して、第三者による重大な侵害や脆弱性がないか確認する。侵害が発生した場合、または供給での脆弱性が特定された場合は、サプライチェーンのリスクと積極的な対応策を評価するために、事前準備的に連絡を取ることである。

 さらに、企業は、特に第三者のサイバーリスクに関連するリスク軽減策を既存のプロセスに組み込むことで、防御を強化することができる。効果的なサイバーリスク管理には、供給業者の徹底的な評価、明確なリスク基準の定義、リスク・ランキングを使用した供給業者の優先順位付け、侵害通知とインシデント対応の調整のための効果的なコミュニケーションチャネルの確立が必要である。

 もう1つの重要なステップは、調達チームのプロセスを包括的にレビューして、潜在的な第三者がビジネスにもたらすリスクの全体像を調査していることを確認することである。これには、サイバー脆弱性、業務リスク、評判上の懸念、コンプライアンス義務、財務状況などが含まれる。サイバーの観点から、企業は供給業者のセキュリティ管理も評価する必要がある。

 最後に、安全な組織は、何がビジネスにとって許容可能なリスクであるかを見極めるため、構造化されたリスク改善プロセスを備えるべきである。第三者との関係に関連するリスクを軽減することで、組織は全体的なサイバーセキュリティ体制を強化し、機密資産を潜在的な脅威から保護することができる。また、これらの点検・審査により、規制要件と業界標準により合致することが促進され、組織全体でコンプライアンスとリスク認識の文化を発展させることになる。

インシデント前後の計画を策定する

 将来のリスクを管理するためには、インシデントが発生する前に効果的に計画を立てることで大きな違いが生じる。文書化、接続の最新状況の可視性、事業、第三者および第四者の間でのデータフローなど、組織全体にわたる侵害の影響を迅速に特定するためのメカニズムを用意することが不可欠である。これにより、影響を受けた資産やサービスを隔離し、必要なトリアージを行うことができる。影響を迅速に特定することで、組織は影響を受ける当事者との事実に基づく外部コミュニケーションを通じてリスクに関する語り口をより適切に制御し、迅速に解決の道を推進することができる。もちろん、組織内に資源や専門知識を持たない場合は、評判の良いセキュリティ会社が支援してくれるはずである。

 侵害が適切に処理された後は、このような事態が再発しないよう、影響とその結果講じられた措置に焦点を当てた事後調査を実施することは、常に賢明なことである。これにより、継続的な改善プロセスが生まれ、将来のサイバーリスクに対して組織が成功するための準備が整うことになる。

トピックス
サイバー、新興リスク、リスクアセスメント、リスクマネジメント、セキュリティ、サプライチェーン、技術


注意事項:本翻訳は“How to Make Cybersecurity Training More Effective”, Risk Management Site  (https://www.rmmagazine.com/articles/article/2024/02/20/how-to-make-cybersecurity-training-more-effective ) February 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ブラッド・ヒッバートはプリヴァレント社社長兼最高セキュリティ責任者。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。