CISAが2023~25年のサイバーセキュリティ戦略を公開
2022年12月15日、Mike Vizard
毎年この時期になると、サイバーセキュリティのリーダーたちは、来年の戦略のようなものを作成しようとします。ただサイバーセキュリティ戦略に関しては、直面する脅威の性質が常に進化し続けているため、正確さを期すことは難しいのです。しかしCSIA (Cybersecurity and Infrastructure Security Agency、米サイバーセキュリティー・インフラセキュリティー庁)は、多くのサイバーセキュリティリーダーがそっくりそのままコピー&ペーストしたくなるような2023〜25年の戦略計画を親切にも発表しています。
37ページにおよぶこの文書は、細かいルールを定めたものではありませんが、組織内の全員が達成に向けて取り組むべきサイバーセキュリティの4つの大きな目標を示しています。企業の IT 部門の観点からは、以下のように要約することができます。
- 防御力と回復力を確保する取り組みを率先して行う:そうすることで、サイバー攻撃やインシデントへの抵抗力も強くなります。その一環として、組織はサイバー脅威を積極的に検知する能力の向上、重要なサイバー脆弱性の開示と緩和、そして可能な限りIT環境をデフォルトで安全にすることに注力すべきです。
- 重要インフラへのリスクを軽減する:リスク分析ツールへの投資により可視性を拡大すること、限られたリソースの配分の優先順位を高めることで可能となります。
- ステークホルダー間の業務連携を強化する:情報共有も同様に強化しましょう。
- 機能、能力、労働力を統合する:そうすることで、卓越した文化に基づく統一されたサイバーセキュリティチームを構築するのです。
目印となる「北極星」をつくり出す
サイバーセキュリティ専門家の多くは、目の前のミッションを直感的に理解しています。サイバーセキュリティ専門家にとってより大きな問題は、それを達成するためにどのようなリソースを利用できるのか、なのです。利用可能なリソースによって、どのような戦術でさまざまな種類のリスクと戦うかが決まるのですから。しかし、サイバーセキュリティの戦略を明確に周囲に伝えることも大切です。CISAのディレクターのジェン・イースタリーが言うように、その戦略が組織にとっての「北極星」となり、サイバーセキュリティにどのくらいの予算を配分する必要があるかを皆に思い起こさせるからです。今のように、ストレスの多い時期にはなおさら重要です。
実際、その任務の一環としてイースタリーは、サイバーセキュリティ諮問委員会に対し、その具体的な目標を推進するために設立される小委員会を通じて、「サイバーセキュリティのリスクを効果的に管理するために取締役会や経営幹部が何をすべきか」に焦点を当てる予定だと述べています。
難しい選択
もちろん、ランサムウェアの台頭を受け、ビジネスリーダーはサイバーセキュリティの価値をかつてないほど評価しているでしょう。しかし、評価しているからといって、必ずしも深く理解しているとは限りません。多くのビジネスリーダーが経済的に難しい選択を迫られていますが、サイバーセキュリティは「予算を削ることでより多くを成し遂げられる」分野ではありません。
効率化を進めるために、予算を再配分することもあるでしょう。しかし、サイバー攻撃がますます増加し、巧妙になっている今、サイバーセキュリティへの支出を削減してしまえば、ビジネスへのリスクレベルが高まることは間違いありません。ほかに選択肢のないような状況もありますが、ビジネスリーダーは、どのようなトレードオフがあるのかを深く理解する必要があります。
一方、サイバーセキュリティ専門家は今、組織のリーダーになる特別なチャンスに遭遇しています。完璧なサイバーセキュリティは実現できないかもしれませんが、脅威のレベルに対する理解が深まれば深まるほど、どの組織のメンバーも、サイバーセキュリティ専門家の指導に耳を傾けるようになるはずです。そして、その目的と希望も理解するようになるでしょう。
原文はこちら
CISA shares 2023-2025 cybersecurity strategy
Dec. 15, 2022 Mike Vizard
https://blog.barracuda.com/2022/12/15/cisa-shares-2023-2025-cybersecurity-strategy/
