よりスマートなサイバーセキュリティリスクマネジメント戦略

高速化したネットワークが実現する新たなレベルのデジタル化が進むに連れて、データを使用することは、リスクの監視、分析、予測、軽減を向上させる大きな機会を提供します。 また一方で、新たな脆弱性がサイバー脅威の攻撃者にさらされているため、データ保護や処理、転送、保存するシステムの重要性が非常に高まっています。

PwC が行った最新の年次グローバルCEOアンケートによると、サイバーセキュリティは世界的に最優先事項の一つに挙げられています。サイバーセキュリティはもはやCEO、CTOやIT責任者だけの懸念事項ではなく、あらゆるサプライチェーンとテクノロジーを担当する責任者の課題にも含める必要があります。

リスク保証に対する予測アプローチ

データは、リスクマネジメントとレジリエンスを変革する可能性を秘めています。適切なデータ、分析、レポート作成ツールは、将来のリスクが発生する可能性が高い場所、また発生しない場所を特定するのに役立ち、危機に瀕している領域にリソースを集中させることができます。これらの指標を使用することは、意思決定における感情的なバイアス（偏り）の回避にも役立ちます。より大きいと思われるリスクが、常に最も綿密な監視が必要なリスクであるとは限りません。

特定の状況において、失敗するリスクが高いことを示している場合には、同一の方法で審査や検証を実施しても意味がありません。同様に、低リスクの分野であればより効率的な方法を検討でき、資源を高リスクの活動に集中させて、その活動を実行することができます。経験豊富なデジタル保証パートナーにご依頼いただければ、監視すべきデータの種類、その分析方法と活用方法について、助言することが可能になります。

総合的なデジタル変革の必要性

デジタル変革がもたらす機会は豊富にありますが、導入が難しい場合があること、また断片的な方法でアプローチすると、デジタルトランスフォーメーションによる効果的な影響をもたらすことができない場合があります。2020年の調査によって、パンデミックの開始時に行われたデジタルアップグレードのうち、59%は急速に配置された課題を解決するために、短期的な修正が必要になったことが明らかになっています。 これは、保証とリスク軽減がマネジメントプロセスに適切に統合されていれば回避できたかもしれません。

よくある間違いは、テクノロジー主導のアプローチを取り、テクノロジーのためのツールを導入してしまうやり方です。 重要な点として、業務とリスク保証プログラムのデジタル化を模索する組織は、不十分であると感じるテクノロジーやデータソースだけでなく、データ主導によって解決へと導くことが出発点だと認識する必要があります。そのためには、スタッフ、プロセス、テクノロジーの適切な組み合わせを含む、総合的なデジタル保証戦略が必要です。

サプライチェーンのデータとサイバーセキュリティのリスク

デジタル化とデータフローの拡大により、潜在的な脆弱性が増加し、悪意のあるサイバー脅威の攻撃者に狙われる可能性が生じます。 サプライヤーは、自社の業務と品質保証の全体像を把握したい企業にとって重要なデータソースになりますが、このデジタルサプライチェーンにもサイバーセキュリティ保証が必要です。組織は、自社のサイバーセキュリティのリスクマネジメント戦略だけでなく、サプライチェーンを評価する際に生じるサイバー脅威の可能性についても認識する必要があります。

過去数年間で、ランサムウェアによるサイバー脅威の環境に変化が見られます。頻度が倍増しており、全侵害の10％を占めるようになっただけでなく、潜在的なランサムウェアを通じてサプライチェーンが標的にされるケースも増えています。 このような攻撃は、ホストネットワークを押さえてしまうだけでなく、エコシステム全体に何らかの影響を及ぼす可能性があります。
サプライチェーンが持つグローバルな性質により、このような攻撃の潜在的な影響力が増加しており、サイバーセキュリティにおけるリスク評価の重要性が高まっています。

継続的な監視に向けて

以上のような環境において、従来型の審査や年に一度のサイバーセキュリティリスク評価ではもはや十分ではありません。従来型では、ある時点でのシステムの一時的な把握に留まってしまうため、新たな脆弱性や必要なシステムへの変更が考慮されていません。

同様に、これまで、多くの組織がサイバーセキュリティのリスクマネジメントを保険会社に移管することを選んできました。しかしながら、サイバー攻撃の件数の多さと高度化により保険料が押し上げられているため、保険会社は組織に対して、リスクを積極的に軽減して保険契約を継続するよう強く要求するようになっています。強力な保証への投資により、保険契約のコストを削減することも可能です。

この2つの問題に対する解決策の1つが、継続的な統制監視（Continuous Control Monitoring:CCM）です。 これにより組織は、サプライヤーから取得するデータを含め、サイバーセキュリティリスク評価に必要なデータをリアルタイムで追跡できます。脅威を監視するインテリジェンスプラットフォームとダッシュボードによって、継続的かつ積極的な監視アプローチを推進します。

協調的なリアルタイムの保証

サプライヤーや専門家と協力してアプローチすることで、組織はリスク保証へのよりスマートなアプローチを開発し、サイバーセキュリティにおける適切な情報セキュリティを確実にし、大きな進歩を遂げることができる可能性があります。

ISO 27001などのグローバルなマネジメントシステム規格に対する認証の要求事項や、ITセキュリティの監査・評価を受けることは、多くの契約上の合意に含まれています。アメリカ国立標準技術研究所（NIST）のサイバーセキュリティフレームワークも、サプライヤーの管理を検討する必要性を考慮したグローバルスタンダードとしての地位を確立しつつあります。調達担当者は、サプライヤーの教育とスキルアップを支援し、サプライチェーン全体のコンピテンシーとレジリエンスを高めることができるため、双方に相互利益をもたらします。デジタル保証と継続的な監視モデルへの移行により、リモートでのサプライチェーン監査を推進できます。不要なオンサイト監査で生じる、コストの必要性や混乱を軽減できる可能性もあります。

意思決定は、サプライヤー、新製品開発、新しく進出する市場を中心に行われるため、サイバーセキュリティはその議論の一部に組み込まれる必要があります。サイバーセキュリティのリスクマネジメントは、当初の導入段階で満たすべきチェックポイントではなく、厳格で継続的なアシュアランス保証戦略の一部として形成する必要があります。

結論

業界がデジタル化するにつれて、従来のリスクとサイバー脅威の両方に対する、よりスマートでリアルタイムな保証の必要性が高まっています。 これらはすべて、組織に合わせた方法でサイバーレジリエンスをデジタルリスク保証プログラムに組み入れ、既に認識している脅威に対処しつつ、未確認の脅威を考慮する必要性を示しています。 業務上のデータと情報のセキュリティ、脆弱性、脅威を継続的かつ協調的に監視することで、リスクの軽減、効率の向上、豊富な情報に基づいた意思決定の促進が可能になります。