この究極のガイドは、以下に挙げるようなサイバー リスクの包括的なレビューを提供します。
Jump links
サイバー リスクの定義
サイバー リスクとは、ネットワークやデジタル システムにおけるサイバー脅威や脆弱性によるサイバー攻撃やデータ侵害(漏洩や偶発的損失など)によって損失が発生する可能性を指します。サイバー リスクには、サイバー攻撃が成功する可能性と、その潜在的な結果が含まれます。サイバー リスク管理には、ITチームやセキュリティ チームだけでなく、財務やサプライ チェーン チームなどの組織の非技術部門も関与します。
サイバー リスクの主要な要素
サイバー リスクの主要な要素は脅威の一部であり、以下のようなものがあります。
能力
能力とは、サイバー犯罪者がサイバー リスクを現実の被害に転換するために使用するスキル、リソース、テクニックなどのことです。
可能性
サイバーリスクを評価した後は、それが発生する確立が判定されます。この可能性は、他のサイバー セキュリティタスクの文脈内でサイバー リスクを分類して優先順位付けするのに役立ちます。
モチベーション
サイバー攻撃の動機を理解することは、可能性の評価とともに潜在的な標的の特定にも役立ちます。前述の通り、サイバー犯罪者の動機はさまざまです。
機会
通常、アクセスの可能性は機会を示唆します。サイバー犯罪者がアクセス権限を獲得できるか、または獲得できる可能性があるかどうかは、サイバー リスクの規模を判断する助けになります。脆弱性もサイバー攻撃者に機会を提供します。
サイバー リスクを悪用する攻撃者
サイバー リスクの影響を考える際には、脅威の背後にいる人物を理解することで、攻撃が成功した場合の影響を説明することができます。一般的な攻撃のプロファイルとその動機のいくつかを以下に挙げます。
- 競合他社 – 企業秘密やその他の機密企業情報を盗むために違法行為を行います。
- サイバー犯罪者 – 主に金銭的利益を動機とし、機密情報やその他の貴重な資産を盗むためにさまざまな戦術を駆使します。
- ハクティビスト—政治的または社会的な理由から特定の組織を混乱させることを目的とします。
- 国家 – 政府の機密データや重要インフラを標的にします。
サイバー リスクへの曝露は通常、サイバー犯罪者やサイバー攻撃と関連付けられますが、偶発的に発生する場合もあります。たとえば、従業員が誤って間違った相手にメールを送信して、うっかり機密データを流出させてしまう場合があります。パッチ未適用のシステム、開放されたポート、設定ミス、サード パーティのソフトウェアやシステムの脆弱性などのIT上の問題も、リスクへの曝露を引き起こす可能性があります。
サードパーティ リスク管理におけるアイデンティティに関する課題とその対応方法
サイバー リスクの一般的な発生源とその影響
サイバー リスクは、ほぼ無限に存在します。一般的なものもあれば、特定の産業やユーザーのタイプに固有のものもあります。よく見られるサイバー リスクをいくつか以下に挙げます。これらを理解することで、より微妙なサイバー リスクを特定するのに役立ちます。
APIの脆弱性
アプリケーションやシステムを接続するためにアプリケーション プログラミング インターフェース(API)を多用することは、サイバーリスクを生み出します。サイバーリスクを生み出すAPIの脆弱性として上位に挙げられるものには、オブジェクトレベルの認可の不備、不十分なユーザー認可、インジェクション攻撃、過剰なデータ露出、レート制限の欠如、安全でない直接オブジェクト参照(IDOR)などがあります。これらは、安全でないコーディング慣行と併せて、APIを重大なサイバー リスクにしています。
クラウドの脆弱性
クラウドコンピューティング環境におけるギャップは、サイバー攻撃者によって不正アクセス、サービス妨害、データ盗難を行うために悪用されるサイバー リスクを生み出します。クラウド環境に関連する最も一般的なサイバー リスクは、人的エラーと設定ミスです。
コンプライアンス違反
規制や基準に定められたセキュリティ要件を遵守しない場合、組織に罰則のリスクをもたらすだけでなく、セキュリティに隙を作ることにもなります。これらの規則に付随するセキュリティ対策は、既知の攻撃ベクトルに対処するために設計されたベスト プラクティスを反映しています。コンプライアンス違反に関連するサイバー リスクには、マルウェアやランサムウェアへの感染から、フィッシング攻撃、DDoS攻撃まで、さまざまなものがあります。
効果のないアクセス権限管理
効果のないアクセス権限管理には、多くのサイバーリスクが伴います。アクセス権限管理に関する最も一般的な問題としては、ユーザーに未認証のデータへのアクセス権限を付与すること、未認証のインターネット プロトコル(IP)アドレスからのログインを許可すること、ユーザーの特権アクセス権限の可視性が欠如していること、アクセス ポリシーが適切に定義されていないことなどが挙げられます。
内部脅威
内部脅威は、認証済み特権アクセス権限を持つ内部ユーザーに起因するため、重大なサイバー リスクとなります。これらは通常、不満を抱えた従業員がシステムを悪用したり、データを外部に持ち出したり、外部のサイバー犯罪者にだまされたり強制されたりして、犯罪行為に加担させられるといった悪意ある行為と関連付けられています。また、内部ユーザーが単純なミスを犯し、機密情報を誤って共有したり、デバイスを紛失したりして、それが悪用されるケースもあります。
不十分なデータ セキュリティ
データ セキュリティの欠陥は、さまざまな形で発生する可能性があります。保存中および転送中の機密データを暗号化しないと、データが傍受された場合や、サイバー犯罪者が保存場所にアクセスした場合に、不正アクセスにさらされることになります。データ漏洩によって機密データが流出するのも、データセキュリティ上の問題のひとつです。
可視性の欠如
分散型アプリケーションやシステムを使用する組織の多くでは、クラウド経由でそれらを利用することも多く、ITおよびセキュリティ チームは包括的な可視性を確保することに苦慮しています。ITおよびセキュリティ チームは、これらのツールの多くを監視できないことから、脆弱性の特定、文脈化、優先順位付け、緩和が困難となり、把握しきれない脆弱性が多数生じることにつながります。
誤設定
コード、特にインフラストラクチャ・アズ・コード(IaC)における脆弱性や誤設定は、アプリケーションやシステムにサイバー リスクを引き起こします。誤設定は、コンテナ、仮想マシン、サーバーレス環境でしばしば見られますが、これらはITおよびセキュリティ チームが確認や管理を行うことが困難です。
不十分なアイデンティティ アクセス管理
サイバー リスクの多くは、不適切なアイデンティティ アクセス管理のポリシーと実施に起因しています。サイバー リスクにつながるアクセス権限管理の問題には、アイデンティティ(ID)や関連する特権アクセス権限の可視性の欠如、認証の脆弱性、パスワード プロトコルの不備、ポリシーの誤設定、アイデンティティ ライフサイクル管理のための標準化された自動化プロセスの欠如などがあります。
シャドーIT
クラウド サービスやアプリケーションが簡単に利用できるようになったことで、ITおよびセキュリティ チームの認識がないまま、ユーザーがアカウントを作成して使用することが頻繁に起こっています。これらに対する可視性が欠如していると、サイバー リスクにつながるセキュリティの隙が生じます。サイバー セキュリティにおける最大のリスクは、ユーザーが適切なセキュリティ対策を講じずに機密情報を保存することや、未認証の第三者に機密情報を共有することによるデータ損失です。
サード パーティ ベンダーのリスク
サード パーティやフォース パーティのベンダーは、機密データやシステムへのアクセス権限を有することが多い一方で、それらを適切に保護するために必要なレベルのセキュリティを備えていない場合があることから、重大なサイバー リスクの原因になります。
サイバー リスクの悪用に関する実例
以下の実例は、攻撃者がサイバー リスクを悪用する際の方法を示すものです。これらの例は、修正措置と防御策を特定し最適化するのに役立つ文脈を提供します。
ランサムウェア
2021年5月に発生したColonial Pipeline社へのランサムウェア攻撃では、多要素認証(MFA)のない仮想プライベート ネットワーク(VPN)アカウントが侵害され、悪用されました。攻撃者は、この脆弱なアカウントを通して初期アクセスを獲得しました。その後、ネットワークのセグメント化が不十分であることを利用して、Colonial Pipeline社のシステムに拡散・侵入し、データを暗号化し、アクセスを復元するための身代金の支払いを要求しました。
フィッシング攻撃
2013年のTarget社の情報漏洩事件では、複数のサイバー リスクが悪用されました。攻撃者はまず、サード パーティ ベンダーに対するフィッシング攻撃からクレデンシャルを入手しました。ネットワークのセグメント化が不十分であったため、攻撃者はネットワークのラテラル ムーブメントを行い、販売時点情報管理(POS)ネットワークへのアクセス権限を獲得しました。彼らはPOS端末にマルウェアをインストールし、取引からクレジット カード情報をリアルタイムで収集および外部送信することを可能にしました。
クラウドの誤設定と不適切なアクセス権限管理
2019年のCapital One社の情報漏洩は、Amazon Web Services(AWS)環境内でのクラウド インフラの誤設定と不十分なアクセス制御の組み合わせが原因となりました。この誤設定により、攻撃者はサーバーサイド リクエスト フォージェリ(SSRF)攻撃を実行し、特権アカウントのクレデンシャルを入手することを可能としました。また、侵害されたAWS環境では、アクセス権許諾の設定の誤りもあり、必要以上に広範囲のアクセス権限が許可されていました。さらに、Capital One社のクラウド ストレージには、暗号化されていない社会保障番号、住所、信用スコア、銀行口座の詳細などの個人情報が含まれていました。
APIの悪用
FacebookとCambridge Analytica社のデータ スキャンダルでは、Cambridge Analytica社はFacebookのAPIインフラの脆弱性を悪用し、8,700万人のユーザーのデータを本人の同意なしに収集しました。この脆弱性が発生したのは、API経由のデータ アクセス権限が過剰に広範であったためで、これによりユーザー自身の個人データとそのフレンドの個人データの両方へのアクセスが可能になっていました。この詳細なアクセス制御の欠如とサード パーティ開発者に監視の不徹底により、Cambridge Analytica社はターゲットを絞った政治広告を目的とした膨大な量のデータ収集が可能となり、その結果、Facebookは多額の罰金を科されることになりました。
内部脅威
内部脅威の悪用の一例としてよく知られているものには、2013年にEdward Snowden氏が米国国家安全保障局(NSA)から機密情報を漏洩した事件が挙げられます。NSAの契約社員として働いていたSnowdenは、自身の認証済みアクセス権限を利用して極めて機密性の高い文書を収集し、盗用しました。この事例では、過度のアクセス権許諾が付与された特権アクセスや監視の行き届かなさなど、複数のサイバー リスクが悪用されました。
サプライ チェーン攻撃
2020年、プラットフォームの更新プログラムに攻撃者がマルウェアを挿入することより、SolarWinds社のソフトウェア更新システムが侵害されました。これらの感染した更新プログラムは、民間企業や米国政府機関を含む顧客に配布されました。侵害されたソフトウェアをインストールした多くの組織ではネットワークのセグメント化が不十分であったため、攻撃者はMicrosoft Office 365の脆弱性を利用して、相互接続されたシステムを通じて、さらなるクラウド資産にアクセスを行いました。さらに、高度な検知メカニズムが欠如していたため、攻撃が正当なトラフィックを模倣していたこともあり、侵害は数か月間も発見されないままでした。
IoTボットネットDDoS攻撃
2016年のMiraiボットネット攻撃は、モノのインターネット(IoT)デバイスに関連するいくつかの重要なサイバー リスクを悪用しました。この攻撃は、ハードコードされた一般的なクレデンシャルのリストを使用して、ブルートフォースでIoTデバイスにアクセスし、TenetおよびSecure Shell(SSH)ポートが開いているデバイスを標的にしました。このボットネットは世界中で大規模なDDoS攻撃を仕掛けるために使用されました。
サイバー脅威が企業にもたらす影響
サイバーリスクは、広範囲に影響を及ぼすため、一般的に企業にとって最も重要なリスクであると考えられています。サイバー リスクが悪用された場合、データ損失、金銭的損失、業務中断、生産性の低下、評判の低下などの結果を招く可能性があります。
サイバー リスクの対象範囲が広いことも、重要な問題となっています。サイバー リスクの要因は、ランサムウェアやその他のマルウェアなどの悪意ある行為から、法的措置や罰金につながる脆弱性を生み出すコンプライアンス管理の不備まで多岐にわたります。
サイバー リスクとサイバー セキュリティの課題
サイバー リスクは複雑化を進め、対処が一層困難になっています。リモート ワークやクラウドベースのシステムの増加により、組織の攻撃対象領域(アタックサーフェス)は指数関数的に拡大し、サイバー リスクにさらされる危険性も高まっています。
攻撃者は弱点を見つけ、それを悪用することに非常に長けています。エンドポイント、モバイル、IoTデバイスは、組織のセキュリティにおける弱点であり、データやその他のリソースにアクセスする経路であると見なされることから標的とされます。メール システムの保護に使用されるマルウェア・フィッシング防止システムを回避するソーシャル エンジニアリング キャンペーンを開始するために、クラウドベースのコラボレーション プラットフォームが利用されるようなケースもあります。
慢心もまた、サイバー脅威の有効性に寄与する要素です。コンプライアンス上の義務を果たせばサイバー攻撃者の魔の手から逃れられると、多くの組織は考えています。しかし、実際はそうではありません。法規制遵守は組織のセキュリティ対策全般を向上させますが、サイバー リスクは依然として存在しており、組織が警戒を怠ることはできません。
セキュリティ システムの強化にどれだけ果敢に取り組もうとも、企業が直面することになるサイバー セキュリティの課題には、以下のようなものがあります。
- 5Gネットワーク – デバイスで収集および保存されたデータへのアクセスを獲得するために侵害されます
- 生成AI – フィッシングやディープ フェイクなど、高度にターゲットを絞ったキャンペーンの作成に使用され、アカウントの乗っ取りや不正アクセスを試みます
- モバイル マルウェア – モバイル デバイスとその通信プロトコル(Wi-FiやBluetoothなど)に固有の弱点を悪用するように設計されています
- ランサムウェア攻撃 – ビジネス上の重要な分野を標的にします
サイバー リスクの軽減
サイバー リスクを軽減するための非常に効果的なアプローチとしては、サイバー セキュリティ対策の実施、インシデント対応計画の策定、定期的なセキュリティ意識向上トレーニングの実施の3つが挙げられます。
脆弱性緩和のためのサイバー セキュリティ対策
- 資産の検出とインベントリ
- 攻撃対象領域の縮小
- 設定の監視および管理
- 継続的な監視
- サイバー リスク評価
- エンドポイント保護システム
- セキュリティ制御(技術制御、物理アクセス制御、手続き制御、ネットワーク アクセス制御など)
- セキュリティ パッチとソフトウェア更新管理
- 脅威検知システム
- 脆弱性評価
インシデント対応と危機管理
以下を行う詳細なインシデント対応計画を作成します。
- インシデント発生時に取るべき即時対応を概説する
- 利害関係者に通知するための通信プロトコルを確立する
- システム回復の手順を定義する
- インシデント対応計画の更新をテストおよびサポートする
- 過去の事件から学んだ教訓を組み込む
サイバー セキュリティの認識と予防
定期的なサイバー セキュリティ トレーニングは、サイバー リスクを減らす上で重要な役割を果たします。これらのプログラムは、以下に対する従業員の理解を助けます。
- 一般的な攻撃の形態
- フィッシング攻撃やその他のソーシャル エンジニアリングの手口を見分ける方法
- 強力なパスワードの重要性
- セキュリティ ポリシーとプロトコル
サイバー リスク管理のベスト プラクティスと実用的なガイダンス
リスクベースの脆弱性管理アプローチを適用して、サイバーリスクの管理、緩和、修正を行います。
- 未使用のアカウントは閉鎖する。
- すべてのデジタル資産を特定してインベントリを作成し、インベントリを最新の状態に保つ。
- セキュリティ上重要なシステムを特定し、それらが損傷またはなんらかの形で侵害された場合、そのオペレーションの停止や中断が及ぼす可能性のある影響を評価する。
- 特権アクセス権限を監視し、タスク実行に必要な最小限のアクセス権限のみが付与されるよう調整する。
- ユーザーが組織の一員でなくなった時点でアカウントを終了する
- 機械学習(ML)と予測優先順位付けツールを使用して、脆弱性を特定し、その潜在的な影響を評価する
サイバー リスク評価とは
組織はサイバー リスク評価を活用し、データ、システム、業務に悪影響を及ぼす可能性のある潜在的な脅威を事前に特定し評価します。サイバー リスク評価では、潜在的なサイバー インシデントの可能性と影響を推定するために、脆弱性、脅威の状況、既存のセキュリティ対策の有効性を調査します。サイバーリスク評価を実施することで、組織はリスクをより適切に優先順位付けし、リスク許容度に基づいてリスクを軽減、移転、または受容するための戦略を策定することができます。
リスク評価を実施する際には、可能性と影響の他に、考慮すべき事項として以下のものがあります。
- 潜在的にリスクにさらされているデータ、システム、ソフトウェア、ハードウェアなどの重要な資産をカタログ化するための資産識別
- マルウェア、フィッシング、ランサムウェア、内部脅威など、脆弱性を悪用する可能性のある潜在的な内外の脅威に関する詳細な分析を提供するための脅威識別
- 攻撃者が悪用する可能性のあるシステム、ソフトウェア、プロセス、またはポリシーにおける既存の弱点を分析するための脆弱性評価
- ファイアウォール、暗号化、アクセス制御など、既存のセキュリティ対策および防御策の有効性に関する、現在の管理評価
サイバー リスクを計算するためのシンプルな公式は次のとおりです。
脅威による潜在的な金銭的および業務上の影響 + 悪用される可能性 = サイバー リスク
サイバーリスクの評価に関する追加の考慮事項には、以下の項目に要する時間が含まれます。
- リスクの特定
- リスクの評価
- リスクへの応答の優先順位付け
- 特定されたリスクの修正
進化するサイバー リスクからの企業の保護
進化するサイバー リスクから企業を守るには、積極的な防御が最善のアプローチです。ITおよびセキュリティ チームは、セキュリティ ソリューションの最新動向と脅威の状況の両方に常に目を光らせておく必要があります。残念ながら、セキュリティの進歩に合わせてサイバー犯罪者も進化しており、新しいセキュリティ対策を回避するために攻撃ベクトルを絶えず進化させています。
進化する脅威の状況
サイバー攻撃の傾向は、進化する脅威の状況を反映しています。以下は、企業が効果的にサイバー リスクを管理および軽減するために認識しておくべき主な脅威の例です。
- AIとMLを駆使した攻撃
- 生成AIを駆使した標的型フィッシング攻撃
- IoTおよびモバイル端末の脆弱性
- 大規模攻撃
- 量子コンピューティングの脅威
- ランサムウェア
- セキュリティスキルのギャップと人材配置の問題
- サプライ チェーン攻撃
- サード パーティ ベンダーの脆弱性
- ゼロデイ攻撃
進化するサイバー リスク軽減のための高度な技術と実践
人工知能(AI)は、最先端のサイバー リスク管理および軽減のソリューションと実践の中心にあります。AIはより速く、人間には不可能な方法で情報を処理する機械の力を活用することで、ますます複雑化する脅威の状況に対処する能力を組織に与えます。
AIツールは、脅威インテリジェンスを収集、集約、相関させることで、サイバー攻撃をリアルタイムで特定し、対応することができます。また、AIは新たな攻撃や発生の過程にある攻撃への対応を自動化し、迅速に緩和するのに役立ちます。
ゼロトラスト環境を構築する企業が増えるにつれ、その基盤として、アイデンティティセキュリティが注目を集めています。ゼロトラスト環境の構築を成功させるための前提条件として、Gartner社がアイデンティティセキュリティを挙げている理由を本レポートでご確認ください。
ゼロトラストセキュリティプログラム実装における戦略的ロードマップ
サイバー リスク管理をサポートするリソース
以下は、サイバー リスク管理の取り組みを強化するために活用できるリソースです。リスク軽減戦略やベスト プラクティスと併用することで、これらのリソースは組織のサイバー リスクへの露出を低減することができます。
サイバー リスク管理の枠組みと標準
サイバー リスク戦略やプログラムの指針として広く利用されている、無料で入手可能なサイバー リスクの枠組みや標準は数多くあります。これらのサイバー リスクの枠組みや標準は、さまざまな要件を満たすように設計されており、特定のタイプの組織をサポートするように調整されたものもあります。多くの場合、複数の枠組みや標準が組み合わせて使用されます。
サイバー リスクへの取り組みのサポートに使用される枠組みや標準の例としては、以下があります。
- NIST SP 800-53は、連邦政府の情報システムおよび組織を対象に、詳細なセキュリティおよびプライバシー管理(アクセス制御、インシデント対応、構成管理など)を提供していますが、他の組織でも広く使用されています
- NISTサイバーセキュリティフレームワーク(CSF)は、サイバー脅威の特定、保護、検出、対応、復旧を支援し、進化するサイバー リスクに対する耐性を向上させるための、より広範な枠組みを提供します
- ISO 27001 ISO/IEC 27001は、機密データの保護と、機密性、完全性、可用性の侵害リスクの低減に向けた体系的なアプローチを提供します
- Center for Internet Security(CIS)コントロールは、資産管理、アクセス制御、インシデント対応に焦点を当てたベスト プラクティスのセットで、サイバー リスクを軽減し、組織がセキュリティとリスク管理の取り組みを優先順位付けし、業界標準に準拠するのを支援します
- ISACA Risk IT Frameworkは、ITリスク管理をビジネス目標と統合し、組織全体にわたるリスクの特定、評価、軽減に重点を置く、IT関連リスクの管理に対する包括的なアプローチを提供します
- MITRE ATT&CK Frameworkは、攻撃者が使用する戦術、技術、手順(TTP)に関する包括的な知識ベースを提供し、組織が脆弱性を特定し、敵対者がそれらを悪用する方法を理解することで、サイバー リスクを効果的に評価し、軽減するのに役立ちます
リスク評価および管理ツール
サイバー リスク管理の取り組みをサポートするツールは数多くあります。これらは評価ツールから、サイバー リスクの監視を自動化するシステムまで、多岐にわたります。多数ある利用可能なツールの例としては、以下のようなものがあります。
- クラウド セキュリティおよびリスク評価ツールは、クラウド環境における誤設定、脆弱性、コンプライアンスのリスクを評価します
- ガバナンス、リスク、コンプライアンス(GRC)ツールは、セキュリティ、コンプライアンス、ガバナンスをビジネス目標に整合させることで、チームによるサイバー リスクの管理を支援し、法規制遵守の追跡、サイバー リスク ポリシーの管理、継続的なモニタリングを行います
- IDおよびGRCとアクセス リスク管理ツールは、システム全体におけるユーザー アクセス権限とアクセス権許諾に関連するリスクを管理し、最小権限アクセス ポリシーを適用し、IDに関連する脅威を監視します
- 定量的リスク評価ツールは、モデルを使用してリスクの財務的影響を評価し、確率と金銭的価値を割り当てます
- 定性的リスク評価ツールは、可能性を用いてリスクの主観的評価に焦点を当てています
- サード パーティおよびサプライ チェーンのリスク管理ツールは、ベンダー、パートナー、サプライヤーがもたらすリスクを評価し、監視します
脅威インテリジェンス プラットフォーム
公共および民間組織に影響を及ぼす最新の脅威や脆弱性に関するインサイトを得るためのツールが多数提供されています。脅威インテリジェンスの主要カテゴリーである戦略的、戦術的、技術的、運用的、およびセクター固有のカテゴリーは、組織のさまざまな要件に対応するオプションを網羅しています。
- 戦略的脅威インテリジェンスは、長期的なトレンドや地政学的リスクに焦点を当てた高度なインテリジェンスを提供し、主に経営陣や意思決定者が戦略的計画やセキュリティ投資の意思決定を行う際に利用されます。
- 戦術的脅威インテリジェンスは、攻撃者が使用するツール、テクニック、手順(TTP)に焦点を当て、セキュリティ チームがフィッシングやマルウェア キャンペーンなどの具体的な攻撃パターンを特定し、インシデントの検出と対応を改善するために使用されます。
- オペレーション脅威インテリジェンスは、特定の業界や地域を標的とした進行中の攻撃やキャンペーンに関するリアルタイムまたはほぼリアルタイムの情報を提供し、セキュリティ オペレーション センター(SOC)が現在の脅威に先手を打って監視および防御できるように支援します。
- 技術的脅威インテリジェンスは、攻撃で使用されたIPアドレス、マルウェアのハッシュ、侵害の兆候(IOC)などの技術的詳細を提供し、セキュリティ ツールと統合して悪意のある活動を事前にブロックします。
- 業界固有脅威インテリジェンスは、特定の業界に影響を与える脅威に焦点を当てたカスタマイズされたインテリジェンスであり、組織が独自の脆弱性や規制要件に対処するのに役立ちます。
インシデント対応プレイブック
インシデント対応プレイブックは、セキュリティ インシデント発生時のサイバー リスクの管理と軽減に関する詳細な事前定義のガイドラインを提供します。これは、サイバー攻撃の検知、封じ込め、根絶、復旧のための段階的な手順を提供しています。さまざまなサイバー リスクに対応するインシデント対応プレイブックには、一般的には以下のような種類があります。
- 情報漏洩対応プレイブックでは、データ侵害の調査と緩和のためのプロセスを詳細に説明し、これには漏洩の開示に関する法的要件および規制要件を満たすための通知も含まれます
- 分散型サービス拒否(DDoS)対応プレイブックは、トラフィックでシステムを過負荷状態にするDDoS攻撃を受けた後の復旧作業をガイドします
- 内部脅威インシデント対応プレイブックは、認証済みアクセス権限を持つユーザーによるインシデントの検出と管理を促進し、これには疑わしい行動を特定するための監視手順、アクセス権限の剥奪、内部調査の実施などが含まれます
- マルウェア インシデント応答プレイブックは、ウイルス、ランサムウェア、トロイの木馬などの感染に焦点を当て、感染したデバイスの隔離方法、マルウェア発生源の特定方法、バックアップからのシステムの復元方法に関するガイダンスが含まれます
- フィッシングインシデント対応プレイブックは、フィッシング メール、スピア フィッシングの試み、メール アカウント侵害への対処手順を提供するとともに、従業員が悪意あるメールを識別し、管理者が侵害されたアクセスを取り消し、関連するドメインやIPをブロックするのを支援します
- ランサムウェア インシデント応答プレイブックは、封じ込め、通信プロトコル、バックアップからの回復など、ランサムウェア攻撃に迅速に対応する方法についてのガイダンスに加え、交渉するか、身代金を支払うか、または法的措置を開始するかの検討事項を提供します
サイバー リスク保険契約
サイバー リスク保険は、リスク移転を通して組織のエクスポージャーを軽減します。保険契約は、データ破壊、ハッキング、データ恐喝、データ盗難などによって発生した損失など、サイバー関連インシデントに関連するあらゆるコストを相殺するのに役立ちます。
サイバー リスク保険の補償範囲には、ファースト パーティとサード パーティの2種類があります。ファースト パーティのサイバー リスク保険は、被保険組織が被った費用を補償します。サード パーティのサイバー リスク保険は、顧客やベンダーなどのサード パーティが被った損害や損失に関連する費用の補償を支援します。
サイバー リスク保険契約を選択する際の一般的な補償の考慮事項には以下などが挙げられます。
- 侵害調査サービス(フォレンジック専門家など)
- コミュニケーション サポート(広報や危機コミュニケーション スペシャリストなど)
- システムに影響を与えるサイバー攻撃
- データ侵害
- 顧客への通知の配信
- ベンダーおよびサービス プロバイダーが保存したデータへの攻撃
- 影響を受けた顧客への金銭補償
- 通知やその他の規制要件に関する法的助言
- 訴訟または規制当局による調査のための法的費用
- 紛失または盗難にあったデータの復旧および交換
- サイバー インシデントに関連する罰則または罰金
- 身代金
- 業務中断による収益損失の補償
- 調停または訴訟に関連する和解金
まとめ
サイバー リスクは組織のあらゆる領域に存在します。サイバー リスクのほとんどはITに関連していますが、この課題と潜在的な影響について組織全体での認識を持つことが不可欠です。組織全体のユーザーを参加させることは、サイバー リスクの軽減に役立ち、脆弱性軽減と積極的なセキュリティ対策の要となるセキュリティ文化の醸成につながります。
