サイバー脅威は他人事だと思い、オフィスでくつろいでいるかもしれません。「うちのIT部門はデータとシステムのセキュリティ対策は万全だ」と考えているかもしれません。あるいは、それほど規模も知名度も高くないので、誰かがシステムにハッキングすることはないかもしれません。あるいは、もっとひどいのは、規模が大きすぎて、データセキュリティ担当者が数人しかおらず、IT部門に報告すれば何とかなるだろう、という場合です。さて、考え直す必要があるかもしれません!
ヒスコックス保険が発表した報告書によると、サイバー攻撃による総被害額は450億ドルを超えています。また、100億人以上のアメリカ人の医療記録が盗難に遭ったことも報告されています。国際的な調査によると、40年から2015年にかけて、企業の約2016%がランサムウェアの被害を受け、そのうち34%が収益を失い、20%が直ちに事業を停止せざるを得なかったことが明らかになりました。
サイバー脅威の状況
あらゆる組織の情報システムに対する脅威は、常に存在し、無視することはできません。これは、あらゆる規模の組織、あらゆる業種に存在します。テクノロジーの進化により、事業活動は地理的に分散しています。シンプルな2層クライアントサーバー型から、SaaS(Software as a Service)、クラウドストレージ、そしてマルチユーザープラットフォームへと進化を遂げました(「BYOD(Bring Your Own Device)」の普及に伴い、多くの携帯端末とほぼ同数のオペレーティングシステムが組織のデータやサービスにアクセスしています)。組織の境界を越えたデータの移動が増加し、情報が流れるチャネルの数は飛躍的に増加しています。システムのオープン性がこれほど高まると、データとシステムの両方がサイバー攻撃の脅威にさらされることになります。
同時に、サイバー犯罪者も進化を遂げています。単なる「ハッキングサイト」から、ネットワーク監視、分散型サービス拒否(DDoS)攻撃、フィッシング攻撃へと発展し、組織のデータを窃取して金銭を得るための新たな手法を常に生み出しています。ポータブルストレージデバイスの普及は、従業員の過失や意図的なセキュリティ侵害による内部データ損失のリスクも高めています。セキュリティ業界関係者は、ユーザーがセキュリティポリシーの抜け穴を悪用して、自らの指示やパフォーマンス指標を達成しようとすることを熟知しています。こうした手法は、最終的に組織のデータ損失の脅威につながります。
セキュリティ専門家の必要性
運用環境の複雑さと、起こり得る攻撃の高度化を考慮すると、組織はデータ損失から自らを守るために専心的な取り組みを行う必要があります。リスクの分析、リスクの軽減、事業運営チームやサードパーティの専門家との連携・パートナーシップが不可欠です。望ましいレベルの情報セキュリティを実現するには、協調的で専心的な取り組みが不可欠です。あらゆる事業運営は、セキュリティを不可欠な要素として設計する必要があります。そのためには、組織全体の情報セキュリティに責任を持ち、セキュリティの観点から事業のあらゆる側面を統括する十分な権限を持つCISOという独立した役割が必要です。
最高情報セキュリティ責任者(CISO)がもたらす価値
専任のCISOは、存在する脅威、インフラと情報を守るための保護対策、ツール、そして技術について深い知識を有しています。脅威を評価し、ビジネスへの影響を計算し、他のCXOがリスクを理解できるような言葉で脅威を伝えるスキルも備えています。脅威が現実のものとなるずっと前から(そもそも現実になるかどうかも分かりませんが)、これらすべてをプロアクティブに実行します。この職務には、セキュリティ環境に関する技術的な知識と理解だけでなく、リスクが発生する可能性のある場所を把握するためのビジネスオペレーションに関する幅広い知識も求められます。経営陣が組織内のサイバーセキュリティに適切な予算を割り当てるようにするためには、CISOがこれらのスキルを備えていることが重要です。さらに、ISO 27001、NIST、COBITといった情報セキュリティ規格のほとんどでは、完全に文書化された情報セキュリティポリシーと、そのポリシーを監督・管理する上級管理職の配置が求められています。これらの規格は、組織がCISOの役割と責任を明確にし、堅牢なサイバーセキュリティ対策を実施できるようにするためにも活用できます。
CISO – リーダーシップが重要
CISOはセキュリティポリシーと手順を定義するだけでなく、従業員へのセキュリティ教育も推進します。これにより、セキュリティ対策の有効性が明確になり、より安全なインフラストラクチャを構築できます。CISOの役割を成功させる鍵は、堅牢なサイバーセキュリティ戦略を策定するだけでなく、組織の従業員にセキュリティ対策を教育し、浸透させることにあります。これは、組織が提供するサービスが優れているだけでなく、顧客とパートナーのデータ保護にも配慮しているという重要なメッセージとなります。
セクライト 企業のITセキュリティを簡素化し、ビジネスパフォーマンスを最大化します。当社の製品とサービスの詳細については、 当社のウェブサイトを訪問.
