セキュリティには、少なくとも共通言語が必要

    本ページは英語ドキュメントを翻訳したものです。

     


     

    バベルの塔の建設に関する物語をご存知ですか? 最初は順調だったのに、 突然全員が別々の言葉を話し始めました。 コミュニケーションが取れなくなり、プロジェクトは中止せざるを得なくなりました。

    組織のサイバーセキュリティ計画の策定もこれと似ています。 事業者側では、マネージャは収益性、顧客の維持、生産性などについて考えます。 しかし、技術者側では、マネージャはファイアウォール設定や、ランサムウェア攻撃、フィッシング詐欺などのセキュリティ侵害に対する対策を重視します。 最終的に、互いの話す言葉を理解できず、前進できなくなります。

    皮肉なことに、どちらのグループも同じゴール、つまり事業の継続性、資産の保護、事業を繁栄させるためのその他の要因を目指しているのです。 では、両者が合意に達するにはどうすれば良いのでしょうか。

    昨今のオンラインでの犯罪活動の激化に伴い [英語] 、同じ設計図を土台に取り組むことの重要性がますます高まっています。 大半の組織にとっては、被害を受けるのも単に時間の問題です。 大規模な攻撃でなければ大したことにならないのですが、その可能性も減っています。サイバー犯罪は数十億ドル稼げる「儲かるビジネス [英語] 」に進化しているからです。

    お金を払っても損をするだけ

    サイバー攻撃の犯人が、組織のネットワークへのアクセスを遮断し、身代金 [英語] として金銭を要求する場合があります。身代金を支払い、アクセスできるようになったとしても、ファイルが盗まれたり、破損したりしていることもあります。 盗人が顧客の記録に侵入し、重要な情報を盗み取り、個人情報や与信情報が漏洩したことが明らかになれば、会社の評判も地に落ちます。 苦労して開発した知的財産はハッキングされ、最も高い金額をつけた入札者に売り渡されます。Group at desk sm.jpg

     

    一方、サイバー犯罪者 [英語] は安全でないサーバーやコンピューターを巧妙に見つけて侵入し、他の場所への攻撃を仕掛けてから、数分以内にそこから立ち去ります。) 犯罪者は世界中あちこちに拠点を分散しているため、起訴はもちろんのこと、追跡さえも難しくなっています。

    もはやパスワードによる保護で済む問題ではありません。 現代のフィッシング詐欺 [英語] ソーシャルエンジニアリング [英語] 、その他の狡猾な攻撃により、組織のほぼ全員(サプライチェーン、パートナー、代理店、顧客を含む)が攻撃者に狙われる弱点となりえます。 組織は、単に周辺保護を活用するのではなく、考えられるあらゆるレベルで、潜在的なアクセスを強化 [英語] する必要に迫られています。

    共通のセキュリティ目標を作る

    これらすべてを考慮した上で、組織の各部署のマネージャにとっては、共通のセキュリティ目標を掲げ、それぞれの優先順位を統合することが不可欠になります。 これからは、ITマネージャが事業の経営陣にセキュリティスペシャリストの増員を要求するのに、無用な「Tech Talk」に頼る必要はなくなります。 そして、事業の経営陣は、「先月技術者を採用したばかりだ」という理由だけでその要求を拒否することはできなくなります。

    そうではなく、次に示すように1つのチームとして行動しなければならないのです。

    • どのような資産や機能の損失リスクにさらされているか、損失による代償はどの程度か、どのような管理体制を敷いているか、その管理体制が機能しているかを自問自答する。
    • 資産目録を作成し、優先順位を付け、潜在的なリスクと脅威を明らかにし、新しいリスクについて常に最新情報を入手する。
    • 新しい要件や規制、組織が導入した新しい資産/機能について常に最新情報を把握する。
    • セキュリティチームとそのスキル(スキルギャップを含めて)を評価し、重要なスキルを持つ人員を補充し、最新のトレーニングを行う。
    • 「役職」が必要なすべての職務をカバーしていること、またはカバーするための外注計画を立てている。
    • 組織全体でセキュリティ対策の構築、導入、施行を実施している。

     

    どのような組織でも、弱点となるのはその人材 [英語] であるため、導入と実行の後は、施行することが絶対に不可欠です。潜在的な攻撃を認識し、経営陣に警告するトレーニングを全員が受講する必要があります。

     

    シスコが作成した無料のホワイトペーパー、サイバーセキュリティにおける IT および事業経営陣の役割 をダウンロードしてください。経営陣(事業と技術の両方の)がこれらの課題に取り組み、組織全体のミッションクリティカルなニーズを満たす、現実的な計画策定を開始するために活用できるチェックリストをご用意しています。

     

    多少手間はかかりますが、 このような対策を取らなかった場合、現実に起こりうる長期的な損失に比べれば大したことではありません。

     

    IT業界の最新ニュースやシスコラーニングの限定オファーをご確認ください。 今すぐ登録

     

    Donna Head Shot 2 sm.jpg
    Donna MaurilloはLearning@Ciscoのコンテンツマネージャであり、ホワイトペーパー、ブログ、ウェブサイトのコンテンツ、その他資料の作成を担当しています。 キャリア全体を通じて広報に携わってきました。 彼女の目標は、常時接続環境の多くのメリットを強調することです。

    CLNBanner