サイバー・リスク管理とは?

サイバー・リスク管理は、より広範な企業のリスク管理の取り組みの重要な一部となっています。現在、さまざまな業界の会社が主要なビジネス機能を実行するために情報テクノロジーに依存しており、サイバー犯罪者、従業員のミス、自然災害、その他のサイバーセキュリティーの脅威にさらされています。これらの脅威は、重要なシステムをオフラインにしたり、その他の方法で大混乱を引き起こしたりする可能性があり、ひいては収益の損失、データの盗難、長期的な企業評価の低下、規制当局により科される罰金につながります。

これらのリスクを排除することはできませんが、サイバー・リスク管理プログラムは脅威のインパクトと可能性を軽減するのに役立ちます。企業はサイバーセキュリティー・リスク管理プロセスを使用して、最も重要な脅威を特定し、ビジネスの優先事項、ITインフラストラクチャー、リソースレベルに基づいて、サイバー攻撃やその他のデジタルおよび物理的な脅威から情報システムを保護するための適切なITセキュリティー対策を選択します。

サイバー・リスクを完全な確信度で評価することは難しいものです。会社は、サイバー犯罪者の戦術、自社のネットワークの脆弱性、または悪天候や従業員の過失などの予測不能なリスクを完全に把握していることはほとんどありません。さらに、同じ種類のサイバー攻撃でも、会社によって結果が異なることがあります。IBMのデータ侵害のコストに関する調査によると、医療分野でのデータ侵害は平均で1,010万米ドルかかるのに対し、ホスピタリティー分野での侵害では290万米ドルです。

こうした理由から、米国国立標準技術研究所（NIST）などの当局は、サイバー リスク管理を1回限りのイベントではなく、継続的な反復プロセスとしてアプローチすることを提案しています。プロセスを定期的に見直すことで、会社は新しい情報を取り込み、より広範な脅威の全貌や自社の IT システムにおける新たな開発に対応できるようになります。

リスクの意思決定時に組織全体の優先順位と経験を確実に考慮するために、プロセスは通常、さまざまな利害関係者によって処理されます。サイバー・リスク管理チームには、ディレクター、CEOや最高情報セキュリティー責任者などのエグゼクティブ・リーダー、ITおよびセキュリティー・チームのメンバー、法務および人事担当、および他の事業単位の代表者が含まれる場合があります。

会社は、NISTサイバーセキュリティー・フレームワーク（NIST CSF）や NISTリスク管理フレームワーク（NIST RMF）など、多くのサイバー リスク管理の方法論を使用できます。これらのメソッドは若干異なりますが、すべて同様の一連のコアなステップに従います。

リスク・フレーミングは、リスクに関する意思決定が行われるコンテキストを定義する行為です。手始めにリスクをフレーミングすることで、会社はリスク管理戦略を全体的なビジネス戦略と整合させることができます。この整合により、重要なビジネス機能を妨げるコントロールのデプロイなど、非効果的でコストのかかる間違いを回避できます。

リスクをフレーミングするために、会社は次のように定義しています。

プロセスの範囲：どのようなシステムとアセットが調査されますか?どのような種類の脅威が調査されますか? プロセスはどのようなタイムラインで取り組まれていますか（例、今後6カ月のリスク、来年のリスクなど)?

資産のインベントリーと優先順位付け：ネットワーク内にはどのようなデータ、デバイス、ソフトウェア、その他の資産がありますか？これらの資産のうち、組織にとって最も重要なのはどれですか？

組織のリソースと優先順位：どのようなITシステムとビジネス プロセスが最も重要ですか?会社はどのような財務その他のリソースをサイバー リスク管理にコミットしますか?

法的および規制上の要件：会社はどのような法律、基準、またはその他の義務に準拠する必要がありますか？

これらとその他の考慮事項は、会社がリスクに関する意思決定を行う際の一般的なガイドラインとなります。また、会社がリスク許容度、つまり受け入れることができるリスクの種類と受け入れられないリスクの種類を定義するのにも役立ちます。

会社はサイバーセキュリティー・リスク評価を使用して脅威と脆弱性を特定し、その潜在的なインパクトを推定し、最も重要なリスクに優先順位を付けます。

会社がリスクアセスメントをどのように実施するかは、フレーミングのステップで定義された優先順位、範囲、リスク許容度によって異なります。ほとんどのアセスメントでは、次のような評価を行います。

脅威とは、ITシステムを中断させたり、データを盗んだり、そうでなければ情報セキュリティーを侵害したりする可能性のある人物やインベントです。脅威には、意図的なサイバー攻撃（ランサムウェアやフィッシングなど）や従業員のミス（セキュリティ保護されていないデータベースに機密情報を保管するなど）が含まれます。地震やハリケーンなどの自然災害も情報システムを脅かす可能性があります。

脆弱性とは、脅威が悪用によって損害を与えることができるシステム、プロセス、または資産の欠陥または弱点です。脆弱性は、マルウェアをネットワークに侵入させるファイアウォールの設定ミスや、ハッカーがデバイスをリモートで乗っ取るために使用できるオペレーティング・システムのバグなど、技術的なものである可能性があります。脆弱性は、ユーザーが必要以上の資産にアクセスできるようにする緩いアクセス制御ポリシーなど、脆弱なポリシーやプロセスからも発生する可能性があります。

インパクトとは、脅威が会社に及ぼしうる影響のことです。サイバー脅威により重要なサービスが中断され、ダウンタイムや収益の損失が発生する可能性があります。ハッカーは機密データを盗んだり破壊したりする可能性があります。詐欺師は、従業員を騙して金銭を送金させるために、ビジネス・メール詐欺攻撃を利用する可能性があります。

脅威のインパクトは組織外に広がる可能性があります。データ侵害の間に個人情報を盗まれたお客様もまた、攻撃の犠牲者です。

サイバーセキュリティーの脅威の正確なインパクトを定量化することは難しいため、会社はインパクトを推算するために過去の傾向や他の組織に対する攻撃のストーリーなどの定性データを使用することがよくあります。アセットの重要性も要因です。アセットの重要性が高いほど、それに対する攻撃のコストは高くつきます。

リスクは、潜在的な脅威が組織に影響を与える可能性がどの程度あるのか、またその脅威がどの程度の損害を与えるのかを測定します。発生する可能性が高く、重大な損害を引き起こす可能性が高い脅威が最もリスクが高い一方で、マイナーな損害を引き起こす可能性が低い脅威は最もリスクが低いです。

リスク分析中、会社は脅威の可能性を評価するために複数の要素を考慮します。既存のセキュリティー管理、IT脆弱性の性質、会社が保有するデータの種類はすべて、脅威の可能性に影響を与える可能性があります。企業の業種も一因となり得ます。 X-Force Threat Intelligence Index によると、製造業や財務セクターの組織は、運輸業や通信業の組織よりも多くのサイバー攻撃に直面しています。

リスク評価は、 セキュリティー情報とイベント管理 （SIEM）システムのような内部のデータ・ソースや、外部の 脅威インテリジェンスを 活用することができます。また、ベンダーに対する攻撃が会社に影響を与える可能性があるため、会社のサプライチェーンの脅威や脆弱性を調査することもあります。

これらすべての要素を比較検討することで、会社はリスク・プロファイルを構築できます。リスク・プロファイルは、会社の潜在的なリスクのカタログを提供し、重大度に基づいて優先順位を付けます。脅威のリスクが高ければ高いほど、それは組織にとってより重大になります。

会社はリスク評価の結果を使用して、潜在的なリスクにどのように対応するかを決定します。セキュリティー対策への投資はリスク自体よりも高価である可能性があるため、可能性が非常に低い、またはインパクトが小さいとみなされるリスクは単純に受け入れられる場合があります。

可能性の高いリスクとより大きなインパクトを与えるリスクは、通常対処されます。考えられるリスク対応には、次のようなものがあります。

組織は、新しいセキュリティー管理を監視して、それが意図したとおりに機能し、関連する規制要件を満たしていることを確認します。

組織は、より広範な脅威の全貌と独自のITエコシステムも監視しています。新しい脅威の出現、新しいIT資産の追加など、いずれかの変化によって、新たな脆弱性が生じたり、以前は効果的だった管理が使用できなくなったりする可能性があります。継続的な監視を維持することで、会社はサイバーセキュリティー・プログラムとリスク管理戦略をほぼリアルタイムで調整できます。

会社が日常業務からビジネスクリティカルなプロセスに至るまであらゆるものにテクノロジーを使用するようになるにつれて、ITシステムは大規模かつ複雑になってきました。クラウド・サービスの爆発的な増加、リモートワークの台頭、サードパーティーのITサービス・プロバイダーへの依存度の増大により、より多くの人員、デバイス、ソフトウェアが平均的な会社のネットワークに導入されるようになっています。ITシステムが成長するにつれ、その 攻撃対象領域 も拡大します。サイバー・リスク管理のイニシアチブは、会社に、変化する攻撃対象領域をマッピングして管理する方法を提供し、セキュリティー体制を改善します。

より広範な脅威のランドスケープも絶えず進化しています。毎月、およそ 2,000 件の新しい脆弱性が NIST国家脆弱性データベースに追加されています。毎月 何千もの新しい マルウェアの 亜種が検出されていますが、これはサイバー脅威のほんの一種類にすぎません。

会社がすべての脆弱性を解消し、すべての脅威に対抗することは非現実的であり、経済的にも不可能です。サイバー・リスク管理は、会社にインパクトを与える可能性が最も高い脅威と脆弱性に情報セキュリティーの取り組みを集中させることで、より実際的なリスク管理方法を会社に提供できます。そうすることで、会社は価値が低く重要でないアセットに高価な管理を適用しなくなります。

サイバー・リスク管理のイニシアチブは、一般データ保護規則、医療保険の相互運用性と説明責任に関する法律（HIPAA法）、ペイメントカード業界データ・セキュリティー基準、およびその他の規制に準拠することにも役立ちます。サイバー・リスク管理プロセスにおいて、会社はセキュリティー・プログラムを設計する際にこれらの標準を考慮します。モニタリング段階で生成されたレポートとデータは、会社が監査や侵害後の調査中にデュー・デリジェンスを行ったことを証明するのに役立ちます。

場合によっては、会社は特定のリスク管理フレームワークに従うことが求められる場合があります。米国連邦機関は、NIST RMFとNIST CSFの両方を遵守する必要があります。政府契約では、サイバーセキュリティー要件の設定にNIST基準が使用されることが多いため、連邦契約業者もこれらのフレームワークに準拠する必要がある場合があります。