サイバー・リスク・マネジメントには、2つの重要な礎があります。
- シナリオを構想すること
- それぞれのシナリオにおいて、被害を最小限に抑える方法を考えること
最悪の事態を想定した計画を誰も考えないと、トラブルが発生します。考えられないこと」を避けることだけを考え、「考えられないこと」が起こったときにどうするかを考えないとしたらどうでしょうか。
私は、タイタニック号のことを考えてみたいと思います。
リスクマネジメントは最悪の事態を避けるだけではない
タイタニック号の当時は、氷山との衝突を避けることが標準的な手順であったと考えられます。そのため、乗組員はシナリオを作成し、防御策を計画して実行しました。
船長は、熟練した2人の見張りを地平線上に配置し、20分間の警告を出すという手順を踏んでいました。しかし、視界が悪かったため、1分しか警告することができませんでした。そのため、衝突は避けられませんでした。
誰もこのシナリオを想定していなかったのです。氷山との衝突を避ける」という手順だけで、「氷山との衝突を避ける」という手順はありませんでした。そして、タイタニック号に何が起こったのかは、誰もが知っている話です。
リスク軽減についての考察
サイバーセキュリティのリスクマネジメントでは、考えられないようなシナリオに備え、被害を最小限に抑えるための最適な防御策を見つけることが目標となります。基本的には、氷山を避けることができないときにどうすればよいかを知ることです。
例を見てみましょう。組織のIT/OTシステムにサイバー攻撃が迫ります。CISOは、サイバー攻撃を撃退するか、より精巧なリスク管理方法を採用するか、という選択を迫られています。
ステップ1は、「開始条件」と呼ばれるものを把握することです。攻撃を避けることができるのか? それとも、軽減しなければならないのか?
サイバー攻撃に打ち勝つためには、欺瞞のインテリジェンス手法(ハニーポットをご存知でしょうか)などが必要です。しかし、もしかすると、サイバー攻撃をおびき寄せてサイバー周辺の防御を「貫通」させ、攻撃者に騙されて、計画通りに攻撃が開始されたと思わせる方が良いかもしれません。そして、組織の内部から防御します。その場合、「開始条件」は、攻撃が避けられないこと、つまり、攻撃者がファイアウォールを突破していることを想定した方がよいでしょう。
このような場合、回避ではなく緩和のために計画された手順を実行するのが最善です。サイバー攻撃を開始させ、その影響を最小限に抑えるように設計してください。
これは決してつまらない考え方ではありません。特にビジネス全体が危機に瀕している場合、最初の本能はそれを止めさせたいと思うものです。だからこそ、シナリオや次のステップを描くことに経験豊富なリスクマネジメントの専門家やチームが重要になるのです。そのためには、その場で考え、適切な質問をし、問題を解決できる人材が必要です。
セキュリティ評価
今日の脅威の広大な状況を考えると、単一のセキュリティ製品、技術、方法論では、考えられないような事態の発生を防ぐことはできません。
セキュリティポリシーを導入する際には、まずセキュリティ評価を実施する必要があります。セキュリティ評価は、ソフトウェア、ネットワーク、制御システム、ポリシー、手順、従業員の行動に関する現在のセキュリティ体制を理解するのに役立ちます。また、お客様のオペレーションをリスクを許容可能な状態にするために必要な緩和技術を特定します。
ロックウェル・オートメーションは、企業と協力して、サイバーセキュリティのリスクを特定するために必要な専門知識とスキルを提供します。
