サイバー・リスク管理は、サイバーセキュリティ・リスク管理とも呼ばれ、情報システムに対するリスクを特定し、優先順位を付け、管理し、監視するプロセスです。さまざまな業界の会社がサイバー リスク管理を使用して、サイバー攻撃やその他のデジタル的および物理的な脅威から情報システムを保護しています。
サイバー・リスク管理は、より広範な企業のリスク管理の取り組みの重要な一部となっています。現在、さまざまな業界の会社が主要なビジネス機能を実行するために情報テクノロジーに依存しており、サイバー犯罪者、従業員のミス、自然災害、その他のサイバーセキュリティの脅威にさらされています。これらの脅威は、重要なシステムをオフラインにしたり、その他の方法で大混乱を引き起こしたりする可能性があり、収益の損失、データの盗難、長期的な企業評価の低下、規制上の罰金につながる可能性があります。
これらのリスクを排除することはできませんが、サイバー リスク管理プログラムは脅威の影響と可能性を軽減するのに役立ちます。会社はサイバーセキュリティ リスク管理プロセスを使用して、最も重大な脅威を特定し、ビジネスの優先順位、ITインフラストラクチャー、およびリソース レベルに基づいて適切な IT セキュリティー対策を選択します。
サイバー・リスクを完全な確信度で評価することは難しい。会社は、サイバー犯罪者の戦術、自社のネットワークの脆弱性、または悪天候や従業員の過失などの予測不能なリスクを完全に把握していることはほとんどありません。さらに、同じ種類のサイバー攻撃でも、会社によって結果が異なることがあります。IBMのデータ侵害にかかるコストのレポートによると、医療分野でのデータ侵害は平均で1,010万ドルかかるのに対し、接待分野での侵害では290万ドルです。
こうした理由から、米国国立標準技術研究所(NIST)などの当局は、サイバー リスク管理を1回限りのイベントではなく、継続的な反復プロセスとしてアプローチすることを提案しています。プロセスを定期的に見直すことで、会社は新しい情報を取り込み、より広範な脅威の全貌や自社の IT システムにおける新たな開発に対応できるようになります。
リスクの意思決定が組織全体の優先順位と経験を確実に考慮するために、プロセスは通常、さまざまな利害関係者によって処理されます。サイバー リスク管理チームには、ディレクター、CEO や最高情報セキュリティー責任者(CISO)などのエグゼクティブ リーダー、ITおよびセキュリティー・チームのメンバー、法務および人事、および他のビジネス・ユニットの代表者が含まれる場合があります。
会社は、NISTサイバーセキュリティー・フレームワーク(NIST CSF)や NISTリスク管理フレームワーク(NIST RMF)など、多くのサイバー リスク管理の方法論を使用できます。これらのメソッドは若干異なりますが、すべて同様の一連のコアなステップに従います。
リスク・フレーミングは、リスクに関する意思決定が行われるコンテキストを定義する行為です。手始めにリスクをフレーミングすることで、会社はリスク管理戦略を全体的なビジネス戦略と整合させることができます。この整合により、重要なビジネス・ファンクションを妨げるコントロールのデプロイなど、非効果的でコストのかかる間違いを回避できます。
リスクをフレーミングするために、会社は次のようなものを定義します。
プロセスの範囲:どのようなシステムとアセットが調査されますか?どのような種類の脅威が調査されますか? プロセスはどのようなタイムラインで取り組まれていますか(例、今後6カ月のリスク、来年のリスクなど)?
アセットのインベントリーと優先順位付け:ネットワーク内にはどのようなデータ、デバイス、ソフトウェア、その他のアセットがありますか?これらのアセットのうち、組織にとって最も重要なのはどれですか?
組織のリソースと優先順位:どのようなITシステムとビジネス プロセスが最も重要ですか?会社はどのような財務その他のリソースをサイバー リスク管理にコミットしますか?
法的および規制上の要件:会社はどのような法律、標準、またはその他の義務に準拠する必要がありますか?
これらとその他の考慮事項は、会社がリスクに関する意思決定を行う際の一般的なガイドラインとなります。また、会社がリスク許容度、つまり受け入れることができるリスクの種類と受け入れられないリスクの種類を定義するのにも役立ちます。
会社はサイバーセキュリティ リスク評価を使用して脅威と脆弱性を特定し、その潜在的なインパクトを推定し、最も重大なリスクに優先順位を付けます。
会社がリスク評価をどのように実施するかは、フレーミングのステップで定義された優先順位、範囲、リスク許容度によって異なります。ほとんどの評価では、次のことが評価されます。
脅威とは、ITシステムを中断させたり、データを盗んだり、そうでなければ情報セキュリティーを侵害したりする可能性のある社員やインベントです。脅威には、意図的なサイバー攻撃( ランサムウェアやフィッシングなど)や従業員の過失(セキュアでないデータベースに機密情報を保存するなど)が含まれます。地震やハリケーンなどの自然災害も情報システムを脅かす可能性があります。
脆弱性とは、脅威が悪用によって損害を与えることができるシステム、プロセス、またはアセットの欠陥または弱点です。脆弱性は、マルウェアをネットワークに侵入させるファイアウォールの設定ミスや、ハッカーがデバイスをリモートで乗っ取るために使用できるオペレーティング システムのバグなど、技術的なものである可能性があります。脆弱性は、ユーザーが必要以上のアセットにアクセスできるようにする緩いアクセス制御ポリシーなど、脆弱なポリシーやプロセスからも発生する可能性があります。
インパクトとは、脅威が会社に及ぼす脅威です。サイバー脅威により重要なサービスが中断され、ダウンタイムや収益の損失が発生する可能性があります。ハッカーは機密データを盗んだり破壊したりする可能性があります。詐欺師は、従業員を騙して金銭を送金させるために、ビジネス・メール詐欺攻撃を利用する可能性があります。
脅威のインパクトは組織外に広がる可能性があります。データ侵害の間に個人情報(PII)を盗まれたお客様もまた、攻撃の犠牲者です。
サイバーセキュリティーの脅威の正確なインパクトを定量化することは難しいため、会社はインパクトを推算するために過去の傾向や他の組織に対する攻撃のストーリーなどの定性データを使用することがよくあります。アセットの重要性も要因です。アセットの重要性が高いほど、それに対する攻撃のコストは高くつきます。
リスクは、潜在的な脅威が組織に影響を与える可能性がどの程度あるのか、またその脅威がどの程度の損害を与えるのかを測定します。発生する可能性が高く、重大な損害を引き起こす可能性が高い脅威が最もリスクが高い一方で、マイナーな損害を引き起こす可能性が低い脅威は最もリスクが低いです。
リスク分析中、会社は脅威の可能性を評価するために複数の要素を考慮します。既存のセキュリティー管理、IT脆弱性のネーチャー、会社が保有するデータの種類はすべて、脅威の可能性に影響を与える可能性があります。企業の業種も一因となり得ます:X-Force Threat Intelligence Index によると、製造業や財務セクターの組織は、運輸業や通信業の組織よりも多くのサイバー攻撃に直面しています。
リスク評価は、セキュリティー情報とイベント管理(SIEM)システムのような内部のデータ・ソースや、外部の脅威インテリジェンスを活用することができます。また、ベンダーに対する攻撃が会社に影響を与える可能性があるため、会社のサプライ・チェーンの脅威や脆弱性を調査することもあります。
これらすべての要素を比較検討することで、会社はリスク プロファイルを構築できます。リスク プロファイルは、会社の潜在的なリスクのカタログを提供し、重大度に基づいて優先順位を付けます。脅威のリスクが高ければ高いほど、それは組織にとってより重大になります。
会社はリスク評価の結果を使用して、潜在的なリスクにどのように対応するかを決定します。セキュリティ対策への投資はリスク自体よりも高価である可能性があるため、可能性が非常に低い、またはインパクトが低いとみなされるリスクは単純に受け入れられる場合があります。
可能性の高いリスクとより大きなインパクトを与えるリスクは、通常対処されます。考えられるリスク対応としては、以下のようなものがあります。
緩和とは、脆弱性の悪用を困難にしたり、悪用のインパクトを最小限に抑えたりするセキュリティー管理の使用です。例えば、貴重なアセットの周囲に不正侵入防御システム(IPS)を設置することや、脅威を迅速に検知して対処するためのインシデント対応計画を実施することなどが挙げられます。
修復とは、脆弱性が悪用されないように完全に対処するということです。例として、ソフトウェアのバグにパッチを適用したり、脆弱なアセットを廃止したりすることが含まれます。
緩和と修復が現実的でない場合、会社はリスクに対する責任を別の当事者に移転する可能性があります。サイバー保険に加入することは、会社がリスクを移転する最も一般的な方法です。
組織は、新しいセキュリティー管理を監視して、それが意図したとおりに機能し、関連する規制要件を満たしていることを検査します。
組織は、より広範な脅威の全貌と独自のITエコシステムも監視しています。新しい脅威の出現、新しいITアセットの追加など、いずれかの変化によって、新たな脆弱性が生じたり、以前は効果的だった管理が使用できなくなったりする可能性があります。継続的な監視を維持することで、会社はサイバーセキュリティー・プログラムとリスク管理戦略をほぼリアルタイムで調整できます。
会社が日常業務からビジネスクリティカルなプロセスに至るまであらゆるものにテクノロジーを使用するようになるにつれて、ITシステムは大規模かつ複雑になってきました。クラウド・サービスの爆発的な増加、リモート・ワークの台頭、サードパーティーのITサービス・プロバイダーへの依存度の増大により、より多くの人員、デバイス、ソフトウェアが平均的な会社のネットワークに導入されています。ITシステムが成長するにつれ、その攻撃領域も拡大します。サイバー・リスク管理のイニシアチブは、会社に、変化する攻撃領域をマッピングして管理する方法を提供し、セキュリティー体制を改善します。
より広範な脅威の全貌も絶えず展開しています。NIST国立脆弱性データベース(リンクはibm.comの外にあります)には、毎月およそ2,000件の新しい脆弱性が追加されています。何千もの新しいマルウェアのバリアントが毎月検出されており(リンクはibm.comの外にあります)、これはサイバー脅威の一種に過ぎません。
会社がすべての脆弱性を解消し、すべての脅威に対抗することは非現実的であり、経済的にも不可能です。サイバー・リスク管理は、会社にインパクトを与える可能性が最も高い脅威と脆弱性に情報セキュリティーの取り組みを集中させることで、より実際的なリスク管理方法を会社に提供できます。そうすることで、会社は価値の低い重要でないアセットに高価な管理を適用しなくなります。
サイバー・リスク管理のイニシアチブは、一般データ保護規則(GDPR)、医療保険の医療保険の積算と責任に関する法律(HIPAA)、ペイメントカード業界データ・セキュリティ基準(PCI-DSS)、およびその他の規制に準拠することにも役立ちます。サイバー・リスク管理プロセスにおいて、会社はセキュリティー・プログラムを設計する際にこれらの標準を考慮します。モニタリング段階で生成されたレポートとデータは、会社が監査や侵害後の調査中にデュー・デリジェンスを行ったことを証明するのに役立ちます。
場合によっては、会社は特定のリスク管理フレームワークに従うことが求められる場合があります。米国連邦機関は、NIST RMFとNIST CSFの両方を遵守する必要があります。政府契約では、サイバーセキュリティー要件の設定にNIST基準が使用されることが多いため、連邦契約業者もこれらのフレームワークに準拠する必要がある場合があります。
統制された最新セキュリティースイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。
統合されたガバナンス、リスク、コンプライアンス(GRC)アプローチによりサイバーセキュリティーの成熟度を高めるガバナンス構造を確立することで、ITリスクを管理します