優れたサイバー脅威アナリストは結論を伝えるべきタイミングを知っている
サイバーセキュリティー・チームやビジネス・リーダーは、脅威の管理と軽減をめぐって対立することがよくあります。コミュニケーションギャップを埋めることが役に立つかもしれません。
サイバーセキュリティーの世界では、物事をどのように伝えるかが、伝える内容と同じくらい、あるいはそれ以上に重要になります。
この点を説明するための思考実験を挙げます。
あなたが国または地域で最大の燃料パイプラインのCEOであるとしましょう。組織に影響を及ぼす可能性のある重大なサイバー脅威を アナリストがいくつか発見したため、脅威インテリジェンスのブリーフィングに呼び出されました。
2つの脅威のうち、あなたならどちらへの対応を優先しますか?
脅威 1: 「 ランサムウェア ギャングが他のエネルギー会社を標的にしており、会社が身代金を支払うまでクリティカルなデータをロックしています。このランサムウェアが当社のネットワークを侵害した場合、100ギガものデータが暗号化される可能性があると推定されます」
脅威 2 : 「過去数か月間に、非常に破壊的なマルウェアがクリティカルなインフラ・システムを攻撃し、コア・サービスがオフラインになりました。当社のネットワークに侵入した場合、このマルウェアはパイプライン全体を1週間停止すると推定されます。」
これは引っかけ問題です。どちらの脅威も同じ攻撃、つまり米国史上最大の石油インフラに対するサイバー攻撃となった2021年のColonial Pipeline社のランサムウェア攻撃を指しています。悪意のあるハッカーが東海岸の燃料の45%を輸送するパイプラインを停止させ、被害者に440万ドルの身代金を支払うよう圧力をかけたのです。(その後、司法省がその身代金の一部の払い戻しを命じています)。
同じ攻撃を説明しているにもかかわらず、2つの脅威レポートから伝わってくる緊急性が異なることに注目してください。脅威1は困った事態に見えます。脅威2は、全員の総動員による対応を直ちに求めています。
脅威2は、技術的な詳細ではなく、攻撃のビジネスへの影響を強調しているため、より緊急性を増していると感じられます。残念ながら、脅威アナリストはこの点を逆に理解していることが多く、サイバーセキュリティーとビジネスの間に深刻なコミュニケーションギャップが生じる一因となっています。
このギャップは、単なる不便さではありません。組織があらゆる種類の攻撃にさらされる可能性があります。
IBMニュースレター
The DX Leaders
AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。
ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
すべての人です
一方で、私たちサイバーセキュリティーの専門家は、常にビジネスの観点からインサイトを伝えているわけではありません。しばしばより技術的なアプローチを取って、内輪でのやりとりを強調し、脅威アクターやマルウェアの種類、IOC、 CVE 、 CVSSスコアなど、専門的な略語が数多く織り込まれた謎めいた長文を作ってしまいます。
これらは、実務家である私たちにとっては非常に重要なことですが、私たちが啓発したいビジネスリーダーにとっては、重要が非常に低い事柄です。
一方、サイバーセキュリティーの役割やその価値の真の範囲に関して、同じビジネス・リーダーの理解が不正確である場合もあります。サイバーセキュリティーは、罰金の回避や認定資格の取得のために、ルールへの準拠だけをチェックしていく演習のように扱われることがよくあります。
こうしたマインドセットのもとでは、セキュリティーには予算の単なる一項目以上の意味はありません。コスト削減や競争上の優位性にさえつながる要素ではなく、コストセンターとして捉えられてしまいます。
その結果、会議のテーブルついた時、お互いに話が通じなくなります。それは重大な帰結を招きます。セキュリティー担当者が、ビジネス担当者の理解できる言語で脅威を伝えられなければ、企業はリスクを過小評価したり、「価値がないと思われる」という理由で特定のセキュリティー投資を拒否したりする可能性があります。
その結果が大災害です。
とはいえ、「だから言ったのに」という言葉を聞きたい人はいません。もちろん、経営幹部を味方につけることもできません。
IBMお客様事例
お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。
繰り返しになりますが、サイバーセキュリティーの専門家が全面的にこのギャップの責任を負っているわけではありません。しかし、私たちはそれを埋めることができる立場にいます。
脅威管理の優先順位とセキュリティー・コントロールの重要性を経営陣に伝えることができれば、組織全体の認識も向上させることができます。
こうして連携すれば、セキュリティー・チームは推奨事項に関する支持を得やすくなります。時間が経つにつれて、これらのセキュリティー投資が成果を上げ、企業はセキュリティーを真の価値創出元と見なすようになります。
ここでは、サイバーセキュリティー・チームがギャップを埋めるために取り入れることができる、コミュニケーション方法の4つの変更点をご紹介しましょう。
1. 可能性ではなく、現実に焦点を当てる
具現化するかもしれない攻撃、脆弱性を抱えているかもしれないシステム、出現するかもしれない脅威要因など、これから発生しうる事柄に焦点を当てるのは簡単です。
しかし経営陣は、防止できた攻撃やパッチを適用できた脆弱性など、実際に起きた事柄に関心を持つ傾向があります。
これはある意味では良いことと言えます。第一に、これはセキュリティチームに対する信頼の表れです。経営陣はすべての可能性を知る必要はありません。問題のすべてではないにしても、ほとんどを防止できると信じているからです。
さらにセキュリティー部門の成果を宣伝することができ、組織を危険からどのように守ることができたかを報告して、私たちの価値を証明することができます。
そうは言っても、針に糸を通すことも必要です。実際の成果の強調が必要でも、可能性の問題を完全に放棄することはできません結局のところ、私たちの任務の一部は、新しいサイバー脅威を特定し、それらを阻止するための適切なセキュリティー対策を講じることなのです。
これらの要素のバランスを取るために採用できるアプローチの1つをご紹介しましょう。
新しいサイバー脅威が出現した場合、攻撃が起きる可能性の高さと潜在的な影響を特定します。次に、承認や新しいリソースがなくても脅威に対処できる手段を特定し、それを実行します。この対策が脅威の実現可能性と影響をどのように軽減するかを評価し、脅威の全体的なリスク・レベルを判断します。
高リスクの脅威にはより多くのリソースが必要となる可能性があるため、経営陣の注意を喚起する必要があります。低リスクの脅威は補足リストにまとめたり、手短に言及することもできませんが、会議の貴重な時間を使い過ぎないようにします。
2. 具体的な影響に焦点を当てる
脅威の影響について話す: 影響の報告と見積もりは、具体的な数字や具体的なビジネス上の影響に基づいて伝えることが最善です。
私たちのようなセキュリティーの専門家は、脆弱性は自明に悪いことだと思い込みがちです。システムに欠陥があるなら、それは欠陥なのですから、修正すべきでしょう。
しかしセキュリティー以外の分野では、脆弱性が存在するというだけでは、十分な対策のモチベーションにならないこともあります。
その理由の1つは、脆弱性について抽象的な用語で議論されることが多いためです。「当社のシステムは、既存の対策の多くを回避する新種のランサムウェアに脆弱です。20万米ドルの費用で新しいランサムウェア対策システムを導入することを提案します」
妥当な推奨事項ですが、20万米ドルというのは高額な料金です。特に、唯一の根拠が「ランサムウェアの阻止」といった具体性に欠けるものである場合、意思決定者はそのような投資に躊躇するかもしれません。
代わりに、別の枠組みを考えてみましょう。「当社のシステムは、新しい種類のランサムウェアに対しては脆弱です。類似企業のインシデントを分析したところ、これらのランサムウェア攻撃は、ビジネスの損失と修復費用の組み合わせにより、1日あたり平均200万米ドルの損害を与えています。20万米ドルの費用で新しいランサムウェア対策システムの導入を提案します」
ここでは「ランサムウェアを阻止する」ためではなく、組織が1日あたり200万米ドルを失うのを阻止するために、20万米ドルを投じるという話をします。これは良い取引に見えるでしょう。
3. リスク許容度の調整
私たちサイバーセキュリティーの専門家は、やや慎重になりすぎる傾向があります。しかし、多くの企業にとっては最適なリスク量はゼロではありません。
情報セキュリティの典型的な「CIAトライアド」について考えてみましょう。安全な情報システムには、機密性、完全性、可用性が必要であると言われます。
言い換えれば、機密データとシステムは保護される必要があるだけでなく、従業員が使用できるようにしておく必要もあります。このバランスを取るのは難しいものです。厳格な保護があればシステムを安全に保つことができますが、必ずしも生産性に打撃を与えるほどの価値があるとは言えません。
例えば私たちのチームメンバーの一人は、従業員が使用するテクノロジーに関する制限のかなり緩いメディア企業で働いていました。この方針は未管理のシャドー ITや危険なブラウジングにつながっていましたが、一方で刻々と状況の変わるニュースを社員が迅速かつ動的に調査することも可能にしていました。この活動は同社のビジネス・モデルの中心をなすものであったため、組織はそれに伴うリスクを進んで受け入れていました。
リスクの意味を共有していれば、サイバーセキュリティー・チームはオペレーションを中断することなくセキュリティーのニーズを満たす施策とツールを追求できます。
ただし、会社のリスク許容度に合わせるということは、必ずしもサイバーセキュリティーが常にビジネスに従うべきだ、というわけではありません。サイバーセキュリティー・チームは、その専門知識を活用して、企業のリスクに対する理解に影響を与えることができますし、そうしなければなりません。
私たちのチームの一人がは、脅威インテリジェンスに関するあるブリーフィングを回想しています。ブリーフィングでは特定の攻撃を低リスクに分類していましたが、ある経営幹部がそれに反対しました。彼は、組織が過去にこの種の侵害を経験したことを考えると、リスク・レベルは高くなるはずだと感じていたのです。
脅威インテリジェンスチームは、過去の攻撃以降ランドスケープが変化したと指摘します。組織はすでに、この種の攻撃の可能性と深刻度を軽減するための保護策を講じていました。さらにこの種の脅威は、最近ではこの企業のような組織を標的にしていませんでした。
この経営者は話を聞き入れ、低リスクとする評価に同意しました。ここでリスクに関する調整に時間を割かなければ、ほとんど被害を及ぼさないような脅威に時間とリソースを費やすことになっていたでしょう。
4. BLUF、結論から述べる
最後のポイントは最も単純ですが、おそらく最も効果があります。マインドセットの変化も戦略的な方向転換も必要ありません。報告書を作成する時に、少し構造を変えてみてください。
つまりBLUF(bottom line up front)、結論から先に述べる、ということです。
特に脅威インテリジェンスのサークル内では、共有する必要があるすべての新しい情報を深く掘り下げた、20ページ、場合によっては30ページに及ぶ長い詳細なレポートを作成することがよくあります。
その全てが私たちにとっては興味深いものかもしれませんが、多くの経営幹部は一瞥して「長すぎて読めない!」と考えます。
BLUF方式はまず結論から伝えます。「発生した事象の内容はこれです」「懸念すべき点はこれです」「状況のアセスメントがこれで、考えられる対応策がこれです」
レポートの残りの部分では、関心を持っている読者のために深く掘り下げることもできます。しかし、適切で具体的な詳細に基づいた、わかりやすい要約があれば、多くの場合、経営陣が情報に基づいた意思決定を行うのに十分です。
サイバーセキュリティーにおけるコミュニケーションのギャップを埋めるために必要なのは、結局の所、私たちの技術的な用語を、経営陣の共感を呼ぶような緊急性と影響力のある言葉に翻訳することです。
コミュニケーションのアプローチを変えることで、ビジネス担当者の認識を変えることもできます。単なる勘定項目の一つから、組織の運営、革新、繁栄に役立つクリティカルな投資へと、セキュリティーに対する認識を変えることもできるのです。