Cisco Japan Blog

シスコ セキュリティ成果レポートVol.3 を発表 セキュリティレジリエンスを実現するには?

1 min read



セキュリティレジリエンスを実現するには:

最新のシスコセキュリティ成果レポートからの教訓

 


この記事は、CiscoのHead of Advisory CISOsであるWendy Natherによるブログ「Cracking the Code to Security Resilience: Lessons from the Latest Cisco Security Outcome Report」(2022/12/6)の抄訳です。


 

「まだ知らないことはとても多く、今それを解き明かそうとしています」
– Cat Stevens
Yusuf)氏

 

私たちは 2 年前、「実際のところ、サイバーセキュリティでは何が有効か」という質問をしました。

こうした質問に答えるサイバーセキュリティ レポートは多く出回っているため、誰もが同じ方法を実践しているわけではないでしょう。では、データに裏打ちされたプラクティスのうち、私たちがサイバーセキュリティ戦略で実現したいと考えている成果につながるのはどのようなものなのでしょうか。

その結果をまとめたのが『セキュリティ成果レポート』の第 1 巻であり、11 の望ましい成果に照らして 25 のサイバーセキュリティ プラクティスを分析しました。また、複数の国にわたる大規模な回答者グループと Cyentia Institute の優れたデータサイエンス能力のおかげで、回答と同じくらい多くの疑問を提起する有力なデータが得られました。プラクティスと成果の間に強い相関関係が見られたのは確かですが、その理由は何だったのでしょうか。

私たちが昨年発表したレポートの第 2 巻では、最も相関性が高かった上位 5 つのプラクティスに焦点を当て、成果の実現に役立つと思われる詳細を明らかにしようとしました。ここでは特定の種類のテクノロジー インフラストラクチャが、そのような成功へとつながるプラクティス、つまり私たちが求めている成果と、より相関性が高いことがわかりました。セキュリティで優れた成果を得るということに関して、アーキテクチャは本当に命運を左右するのでしょうか。それは事実のように思われますが、私たちはそうした一般論が正しいということについて確信を得るために、さらに調査を進めました。

私たちは常に、読者がこの調査から何を得たいのかを考えながらその声に耳を傾けてきました。大きな課題の 1 つは、「こうしたプラクティスをどのように管理目標に変えるのか」ということでした。言い換えれば、実践すべきプラクティスに関するデータがある程度そろった今、そのための測定可能な目標をどのように設定すればよいのでしょうか。私は英国とコロンビアでワークショップを主導し、CISO がリスク管理の優先事項に基づいて各自の目標を設定できるよう支援してきました。また私たちは、ビジネスリーダーとの緊密な連携が必要とされる長期的な目標の特定に取り組んできました。

セキュリティレジリエンスの実現

私たちのプレゼンテーションで常に話題の中心となったもう 1 つの課題は、サイバーレジリエンス、つまりセキュリティレジリエンスについてでした。セキュリティ業界では、これはほぼ流行語の域に達していますが、この用語が至る所で飛び交っている理由はおわかりかと思います。

「パンデミック、政治不安、経済や気候の変動、そして戦争による動乱の中で、不安定な状況への適応力を高められるようにするなど、誰もが新たな『日常』を見出すのに苦労しています」

では、セキュリティレジリエンスとは一体何なのでしょうか。世界中のセキュリティ担当者やエグゼクティブにとって、それは何を意味するのでしょうか。また、私たちが特定して関連付けることができるサイバーセキュリティの成果とはどのようなものなのでしょうか。それは単に、航海に出た船が沈むといった悪いことが起きないようにすることではありません。また、セキュリティレジリエンスは、必ずしも問題を引き起こしたイベントや状況からの完全な復旧を意味するわけではありません。むしろ、困難な状況の中でフル稼働を続けるか部分的に稼働を続け、関係者への影響を軽減することを意味します。また理想を言えば、セキュリティレジリエンスは経験から学んでさらに強くなることも意味します。

3 巻の最新情報

第 3 巻である『セキュリティ成果レポート:セキュリティレジリエンスの
実現
』では、セキュリティレジリエンスに焦点を当てています。このレポートには、世界 26 ヵ国、4,700 人のセキュリティ担当者がどのようにセキュリティレジリエンスの優先順位付けを行っているのか、それらの担当者にとってセキュリティレジリエンスは何を意味するのか、その実現においてどのような点で成功を収めているのか、そして何に苦労しているのかが示されています。繰り返しになりますが、データは私たちに熟考すべき興味深いアイデアを与えてくれます。

セキュリティの文化が醸成されると、レジリエンスが 46% も向上します。「文化」とは、毎年実施するコンプライアンスを重視した意識向上トレーニングのことではありません。サイバーセキュリティの意識向上は誰もが知っていることであり、セキュリティの文化は誰もが行うことです。必要とされるセキュリティ対策とそうした対策が必要な理由を説明するという点で組織の能力が優れていれば、セキュリティの価値に基づいたより的確な判断が可能になり、組織全体のセキュリティレジリエンスが向上します。

重要なのは担当者の人数ではなく、いずれかの担当者がイベントに対応できる状態になっているかどうかです。内部に柔軟な人材プールを持つ(または外部で担当者が待機している)組織では、レジリエンスが 11 ~ 15% 高くなっています。すでにフル稼働のチームがインシデント対応を求められた場合、苦しい状況に陥るのは明らかです。

世界中の非常に多くの組織が、NIST サイバーセキュリティ フレームワークをサイバーセキュリティ プラクティスの指針にしているため、私たちは NIST CSF のどの機能が一連のレジリエンスの成果と最も相関が強いのかも分析しました。たとえば、主要なシステムとデータの追跡に優れている調査回答者は、セキュリティインシデントの拡散や範囲を抑制するという点で約 11% 優れている傾向にあります。ある角度から見るとこれは明らかな結果のように思えるため、言及する価値はほとんどありません。一方、「アセット インベントリ ソリューションに投資すれば侵入を阻止する能力の点で長期的に効果を得られる」と示しているデータを経営陣に提示することには価値があります。

NIST サイバーセキュリティ フレームワーク アクティビティと
セキュリティレジリエンスの成果の相関関係。

他にも注目すべき点があります。このレポートでは 7 つの成功要因を特定して考察しています。これらを達成すれば、全体的なセキュリティレジリエンスのランクが下位 10 パーセンタイルから上位 10 パーセンタイルに上昇します。これらの成功要因には、セキュリティの文化の確立や適切な対応チームの編成などが含まれます。

この最新レポートについて考察するシリーズの第 1 弾である今回の紹介ブログが、レポートの本文をご覧いただくきっかけになれば幸いです。また私たちは常に、セキュリティの成果の向上につながる、まだ明らかになっていない新たなインサイトの発見を目指していますので、下にあるコメント欄からフィードバックや調査のリクエストを投稿いただくか、次のセキュリティカンファレンスで担当者とお話しください。

今回のブログで紹介したようなインサイトについては、『セキュリティ成果レポート第 3 巻:セキュリティレジリエンスの実現』をご覧ください。

データに裏付けられたサイバーセキュリティ調査の結果やセキュリティレジリエンスに関するその他のブログもご覧ください。

ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。

Authors

Yohei Ishihara

Director, Regional Sales

Security Sales-APJC Japan

コメントを書く