将来を見据えた情報セキュリティ プロセスを構築する5つの方法

DDoS攻撃からIP theftまで、さまざまなサイバー攻撃が企業組織へ影響を与えています。ビジネスにおいて大きな影響を受ける可能性を考慮し、サイバー リスクの管理への取り組みがますます重要視されています。Global State of Information Security® Survey 2014によると、主要組織では「セキュリティはもはやITだけの課題ではなく、ビジネスの課題であるとして、セキュリティ機能を強化」しています。この調査により、インシデントによる損失の平均が前年より18%増大し、小さな損失より大きな負債が急速に増加したことが明らかになりました。企業が革新性と収益性を維持するためには、よりプロアクティブなサイバーリスク管理が必要となります。

企業がセキュリティへの取り組みを行う場合、セキュリティ チームにとっての戦略はどのようなものでしょうか。まず、一貫性のある正式なセキュリティ プロセスを構築し、それをビジネスにおける重要なプロセスに統合する必要があります。セキュリティ チームは経営陣と密接に協力し、目標の設定、リスクに関する教育、ソリューションの周知などを行う必要があるでしょう。そのためには、ビジネスにおいて情報がどのように使用されるか、また重要なビジネス プロセス全体を保護するために最善の方法は何か、ということを理解する必要があります。

SBICはこれまで、ビジネスにおけるサイバーリスクに対するプロアクティブな管理の必要性に取り組んできました。私たちの最新レポートでは、セキュリティ プロセスの最適化に注目し、従来のチェックリストとの照合による非定型プロセスや、境界型のセキュリティでは、今日のサイバー リスク管理に対応できないことを強調しています。レポート「将来を見据えたプロセス」では、時代遅れのセキュリティ プロセスによる結果で最も問題があったものを次のように説明しています。

  • リスクの測定において専門用語を用いると、経営陣に対する助言が難しくなる
  • リスクの追跡において、手間のかかる手作業による手法はビジネスに適さない
  • 特定時点における、断片的なコントロール評価はもはや十分ではない
  • サードパーティ製セキュリティ評価向けのシステムや監視は、早急に修正が必要である
  • 脅威データの十分な収集や分析に向けた前進が必要である

本レポートでは、既存プロセスの改善、新規主要プロセスの開発、手法の改善などの方法を指南する5つの推奨事項を提供し、情報セキュリティ プログラムの推進を支援します。これには次が含まれます。

  1. 技術的資産から重要なビジネス プロセスに重点を移す – プロセスを文書化し、最も重要なビジネス プロセス全体をどのように保護するかを検討することから始める
  2. サイバーセキュリティのリスクがビジネスに与える影響を予測する – インシデントの発生や影響を予測するためのシナリオを作り、経済的な損失を予測することでリスクを定量化する手法を改善する
  3. ビジネスを中心としたリスク評価プロセスを確立する – 自動化されたツールでリスクを追跡し、ビジネスのアカウンタビリティを維持する
  4. 証拠に基づく制御を確実にするための道筋を定める – 社内とサード パーティの両方による評価に対して、制御の有効性を継続的にテストするための関連データを収集する
  5. 情報に基づくデータ収集手法を開発する – データ分析により回答できる質問のタイプを調査し、データの一連のユースケースを構築する

これまで以上の要求や期待に情報セキュリティ チームが直面している今日、主要プロセスを新たに見直すことによって、前向きな変化を実現できるでしょう。この最新ガイダンスは、貴社にとって有効なプロセスを見つけるためのお役に立つものと確信しています。

 「ビジネス、テクノロジー、脅威の分野におけるさまざまな出来事により、情報セキュリティ機能が注目を集めています。この機能を進化させることは、企業が成功を収める上で不可欠です。 私たちセキュリティの専門家にとって、革新するための絶好の機会であると言えます。」

Automatic Data Processing, Inc.、副社長兼最高セキュリティ責任者、Roland Cloutier氏

 

No Comments