サイバーレジリエンスを再考する【世界経済フォーラム会議より】

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーレジリエンスの再考に関する世界経済フォーラム会議:フォーティネットによるQ&A」を再編集したものです。

 世界中のサイバーセキュリティの専門家は、前例のない複雑な時代に立ち向かっています。現在および将来における集団的なサイバーレジリエンスは、地政学的な問題から新しいテクノロジーの継続的な導入に至るまで、こうした新たな課題にどのように対応していくかにかかっています。

 先日、世界経済フォーラムで、サイバーレジリエンスを再考しデジタル社会を保護するためのコラボレーションソリューションの構築に関する対面ミーティングが開催されました。世界経済フォーラムは、フランスのパリにあるCisco社のオフィスで開催され、今日のダイナミックな環境の中、協力を推進して、レジリエンスの構築に向けての革新的な方法を特定するために、企業各社、政府機関、国際機関、市民社会団体、および学術機関のサイバーリーダーらが一堂に集まり、意見を交換しました。

 本イベントにはフォーティネットから、グローバルトレーニングおよびイネーブルメント担当バイスプレジデントのBoth Rob Rashotte、およびOT(オペレーショナルテクノロジー)、産業用制御システム(ICS)およびxIOT(拡張型モノのインターネット)担当ビジネス開発マネージャーのAgustín Valencia Gil-Ortegaが参加しました。背景の状況が複雑化する中、レジリエンスを推進しオペレーションを効率化するためのインサイトについて、RobおよびAgustínに話を聞きました。

サイバーセキュリティの法規制は地域によって大きく異なりますが、企業や組織として、オペレーション効率を維持しながらコンプライアンスとのバランスを取るにはどのような行動が必要でしょうか? 

Rob Rashotte:多国籍企業は多くの国でビジネスを展開しています。コンプライアンスとオペレーション効率のバランスを取るには、組織でコンプライアンスのプロセスを設計する際、サイバーレジリエンスと成果ベースのアプローチを取り入れることが重要です。コンプライアンスに基づいた純粋なアプローチを取り入れてチェックリストにマークを入れるだけでは、サイバーセキュリティやサイバーレジリエンスへの実際のインパクトはほとんどありません。また、重複する活動を最小限に抑えるために、さまざまな地域や業界全体における法規制間の相互認証や調和する部分を把握することも重要です。最初は明確でないことが多いため、場合により、他社が取り入れているアプローチを見ることも有用です。

Agustín Valencia Gil-Ortega:この種のコンプライアンスとオペレーション効率とのバランスは、これまで以上に重要になっています。多くのOT(オペレーショナルテクノロジー)には共通の特徴がありますが、法規制が幅広いため、多くの場合、すべてのコンプライアンス要件に対応することは困難です。コンプライアンスは、サイバーセキュリティの成熟度と能力の改善の結果であるべきであり、追加的な労力を払ってさまざまな法規制や重複する一部の法規制を調整するべきものではありません。

 先日のイベントで議論された重要なトピックは、「法規制の相互運用性」です。これは、組織で、ある規制当局に準拠しているサイバーセキュリティの改善を活用する方法を見つけ、別の規制当局の適切なコンプライアンス認証を取得する方法のことを指します。これには、重複した作業を行うことなくグローバルなコンプライアンスを取得する方法について、企業や組織が理解できるように明確な条件を設定することが重要です。また、このような相互運用性を実現するには、規制当局間で相互認証を取得することも重要であり、世界経済フォーラムや今回のような会合は、これらに関係する影響力のある対話の機会となっています。

サイバーレジリエンスを改善する上で、最も将来性が高いと思われる戦略またはテクノロジーは何ですか? また、組織が考えるべき導入の課題は何ですか?

Rob Rashotte:サイバーレジリエンスの改善で最も重要な戦略のひとつは「定義と測定」です。現在、サイバーレジリエンスには正式または事実上の標準的な定義がなく、多くの定義が登場しています。規制当局などの組織は、ビジネス継続性のレベル、および財務的な影響などのビジネス指標を考慮してレジリエンスを定義することが重要です。もちろん、「レジリエンス」が定義されたら、それを測定する必要があります。サイバーレジリエンスの改善を実装する際に組織が抱える一般的な課題は、実装の扱いが、ビジネスの優先事項ではなくテクノロジープロジェクトであることです。関連するテクノロジーや戦略は技術的に非常に複雑であることが多く、技術スタッフと経営幹部チームの両者がニーズとメリットを十分に把握できるように、共通の言語や語彙を策定する必要があります。テクノロジーと戦略を経営幹部レベルで十分に理解することで、新しいテクノロジーのリスクを適切に受容することができます。

Agustín Valencia Gil-Ortega:サイバーレジリエンスとは、組織がサイバーインシデントに対応し、適切に復旧できることを指します。システム障害の際は、冗長性や多様性、動的配置の能力が話題に上がりますが、このような情報は、優先すべき適切なプロセスを特定するために必要です。SD-WAN(ソフトウェア定義型広域ネットワーク)などのテクノロジーは、さまざまな通信やアプリケーションを調整するための統合環境を備えており、これらの問題に対応できます。

 将来性があるテクノロジーとしては、量子コンピューティングが重要な役割を果たし、予想より早く実現すると思われます。クリプトアジリティ(暗号化の俊敏性)機能も向上しており、セキュリティチームは既存のネットワークと並行して、ポスト量子暗号や量子鍵配送を組み込むことが可能なセキュアネットワーク技術を活用する必要があります。

 もちろん、AIの存在は他のどの新興テクノロジーよりも大きく、サイバーセキュリティを含む多くのセクターで広く普及しています。検知およびレスポンスの時間は短縮され続けており、これには、プレイブック作成の自動化などの作業だけでなく、複雑な攻撃に対するアナリストの理解をサポートするスマートなインサイトやコンテキストの提供なども含まれます。

官民連携は、新たな課題に対応しながらサイバーレジリエンスを強化している組織をサポートする上で、どのような役割を果たしていますか?

Rob Rashotte:サイバーレジリエンスの強化には官民連携が不可欠です。官民連携の役割のひとつが、企業と規制当局間のパイプ役になることであり、企業が法規制を導入する際の課題および法規制の調和や相互運用性の機会について、当局が把握できるようサポートすることです。また、このような連携を通じて、企業は、今後の法規制の変更に関する重要な洞察、およびコンプライアンス活動のベストプラクティスを得ることができます。官民連携の別の役割としては、サイバーレジリエンスに関する共通の語彙、およびさまざまな新興テクノロジーに関してサイバーセキュリティの観点で成熟度レベルのガイドラインを策定し標準化することです。

Agustín Valencia Gil-Ortega:新たな攻撃には官民間での幅広い連携が必要です。双方向の情報の流れが不可欠であり、信頼できるスペースを確保してこのような情報交換を行うことの必要性がこれまで以上に重要になっています。

 また、防御者以外も話し合いの場に参加し情報を共有する必要もあります。これらの議論や活動では、攻撃者の影響を包括的に可視化し新たな手口を特定して攻撃者の活動を阻止できるように、サイバー保証組織、法執行機関、暗号化機関が一体化することも重要です。

5年後に、サイバーレジリエンスの複雑さへの対応に成功する組織と、そうではない組織の決定的な特徴を何だと思いますか?

Rob Rashotte:決定的な特徴は、サイバーレジリエンスを、技術的な問題ではなくビジネスの優先事項として捉えている組織だと思います。このような組織では、取締役会レベルで適切に定義されたサイバーレジリエンスのガバナンスモデルが導入されているため、新興テクノロジーを採用する際、慎重にリスクを取ることもできます。また、これらの組織は、コンプライアンスだけでなくサイバーレジリエンスの成果も重視しており、セキュリティ侵害の前後のレジリエンスのレベルを継続的に測定しています。
サイバーレジリエンスの観点で成功している組織の真の特徴は、大きなサイバーセキュリティ侵害の後、ビジネスへの影響を測定して最小限に抑えることが可能で、より重要なことは、対応計画や復旧計画から具体的な学びや調整を示すことができます。もちろん、これらすべてで熟練したサイバー人材が必要になります。つまり、サイバーセキュリティ人材の不足の拡大は、サイバーセキュリティ業界だけでなく全体として対応する必要があります。

Agustín Valencia Gil-Ortega:企業や組織は、俊敏性と多様性の両方を改善する必要があると感じています。

 サイバーフィジカルシステム(CPS)のエクスポージャが増えるのに伴い、サイバーセキュリティ部門は、サイバー環境の具体的な特徴を考慮しながら、能力を向上させる必要があります。これは、例えば、さまざまなチームが別々の目標に向け協調して実行しているが、テクノロジーやベストプラクティス、またはインテリジェンスを共有して問題に取り組んでいるように見えます。

 Robが述べたように、サイバースキルギャップは対処が必要な進行中の問題です。新しい世代の学生は、AIやクラウド、自動化機能、およびビッグデータの使用方法に対する考え方が新鮮であり、これはサイバーセキュリティ分野に人材を呼び込むための好機となります。

 これらの能力はすべて、サイバーセキュリティを次のレベルに引き上げる上で不可欠です。連携によって、防御および検知能力を高め、将来の攻撃や攻撃者のパターンを予測することが可能で、集団的な攻撃者に対する防御を強化することができます。

■関連サイト

Fortinet トップへ