目次:
ITセキュリティを管理するきのこ業界と政府の命令により、高度に規制された環境と毎年のコンプライアンスファイアドリルが行われています。 平均的な組織に影響を与える規制の数は、簡単に数十個を超え、日ごとにさらに複雑になります。 これにより、ほとんどの企業は、ITの優先順位の長いリストに加えて、ガバナンスとコンプライアンスの取り組みに膨大な量のリソースを割り当てることを余儀なくされています。 これらの努力は正当化されますか? または、単にセキュリティへのコンプライアンス主導型アプローチの一部としてのチェックボックス要件ですか?
厳しい真実は、監査をスケジュールできるが、サイバー攻撃をスケジュールできないということです。 ほぼ毎日、侵害が見出しのニュースになると、この事実を思い出します。 その結果、多くの組織は、リスクの状態を理解するには、単純なコンプライアンス評価を超える必要があると結論付けています。 その結果、ビジネス上の影響だけでなく、脅威と脆弱性も考慮に入れています。 これらの3つの要因の組み合わせのみが、リスクの全体像を保証します。
コンプライアンスの落とし穴
リスク管理に対するチェックボックス、コンプライアンス主導のアプローチを追求する組織は、ポイントインタイムセキュリティのみを実現します。 これは、企業のセキュリティ体制が動的であり、時間とともに変化するためです。 これは何度も証明されています。
最近、進歩的な組織は、セキュリティに対するより積極的でリスクベースのアプローチを追求し始めています。 リスクベースモデルの目標は、組織のITセキュリティ運用の効率を最大化し、リスクとコンプライアンスの姿勢を可視化することです。 最終的な目標は、コンプライアンスを維持し、リスクを軽減し、継続的にセキュリティを強化することです。
多くの要因により、組織はリスクベースのモデルに移行しています。 これらには以下が含まれますが、これらに限定されません。
- 新たなサイバー法(例:サイバーインテリジェンスの共有と保護法)
- 通貨管理局(OCC)による監督ガイダンス
救助へのセキュリティ?
一般的に、脆弱性管理はデータ侵害のリスクを最小限に抑えると考えられています。 ただし、脆弱性をそれらに関連付けられたリスクのコンテキストに配置することなく、組織は多くの場合、修復リソースを調整しません。 多くの場合、彼らは最も重要なリスクを見落とす一方で、「簡単な成果」にしか対処しません。
これはお金の無駄遣いであるだけでなく、ハッカーが重大な脆弱性を悪用する機会の長いウィンドウを作成します。 最終的な目標は、攻撃者がソフトウェアの欠陥を悪用するウィンドウを短くすることです。 そのため、脆弱性管理は、脅威、到達可能性、組織のコンプライアンス状況、ビジネスへの影響などの要因を考慮した、セキュリティに対する総合的でリスクベースのアプローチによって補完する必要があります。 脅威が脆弱性に到達できない場合、関連するリスクは軽減または排除されます。
唯一の真実としてのリスク
組織のコンプライアンス体制は、脅威がターゲットに到達するのを防ぐために使用できる代替コントロールを特定することにより、ITセキュリティで重要な役割を果たすことができます。 2013年のVerizonデータ侵害調査レポートによると、Verizonおよびその他の組織が前年に実施した侵害調査から得られたデータの分析によると、セキュリティインシデントの97%は、単純または中間の制御によって回避できました。 ただし、ビジネスへの影響は、実際のリスクを判断する上で重要な要素です。 たとえば、重要なビジネス資産を脅かす脆弱性は、重要度の低いターゲットに関連付けられている脆弱性よりもはるかに高いリスクを表します。
コンプライアンスの姿勢は通常、資産のビジネス上の重要性とは関係ありません。 代わりに、補正制御が一般的に適用され、それに応じてテストされます。 資産が組織に与えるビジネス上の重要性を明確に理解しないと、組織は修復作業に優先順位を付けることができません。 リスク主導型のアプローチは、セキュリティの姿勢とビジネスへの影響の両方に対処し、運用効率を向上させ、評価の精度を向上させ、攻撃対象を減らし、投資の意思決定を改善します。
前述のように、リスクは、コンプライアンスの姿勢、脅威と脆弱性、ビジネスへの影響という3つの重要な要因の影響を受けます。 そのため、リスクとコンプライアンスの状況に関する重要なインテリジェンスを現在、新規、および新たな脅威情報と集約して、ビジネスオペレーションへの影響を計算し、修復アクションに優先順位を付けることが不可欠です。
リスクの全体像に対する3つの要素
セキュリティに対するリスクベースのアプローチを実装するには、3つの主要なコンポーネントがあります。- 継続的なコンプライアンスには、資産の調整とデータ分類の自動化、技術管理の調整、コンプライアンステストの自動化、評価調査の展開、データ統合の自動化が含まれます。 継続的なコンプライアンスにより、組織は共通の制御フレームワークを活用してデータ収集とデータ分析の精度を高め、重複する手間と労力を最大75%削減することで重複を減らすことができます。
- 継続的な監視は、データ評価の頻度の増加を意味し、セキュリティ情報およびイベント管理(SIEM)、資産管理、脅威フィード、脆弱性スキャナーなどのさまざまなソースからのデータを集約および正規化することにより、セキュリティデータの自動化を必要とします。 次に、組織はソリューションを統合し、プロセスを合理化し、状況認識を作成してエクスプロイトと脅威をタイムリーに公開し、予測的なセキュリティを支援する履歴トレンドデータを収集することにより、コストを削減できます。
- 閉ループのリスクベースの修復では、ビジネスユニット内の主題の専門家を活用して、リスクカタログとリスク許容度を定義します。 このプロセスには、ビジネスの重要度を定義する資産分類、リスクベースの優先順位付けを可能にする継続的なスコアリング、および閉ループの追跡と測定が含まれます。 組織は、既存の資産、人、プロセス、潜在的なリスク、および考えられる脅威の継続的なレビューループを確立することにより、業務、セキュリティ、およびIT運用間のコラボレーションを改善しながら、運用効率を劇的に向上できます。 これにより、解決までの時間、セキュリティ運用担当者への投資、追加のセキュリティツールの購入などのセキュリティ努力を測定し、具体化することができます。
リスクとコンプライアンスの最終結果
コンプライアンスの義務は、ITセキュリティバスを駆動するようには設計されていません。 それらは、リスク評価、継続的な監視、および閉ループ修復によって推進される動的なセキュリティフレームワーク内で支援的な役割を果たす必要があります。
