サイバー有事に備えたCxOの結束の必要性

『Global Digital Trust Insights 2023年版』調査結果より

「サイバー有事に備えたCxOの結束の必要性」ダウンロード

サイバーセキュリティ対策は、進展を遂げています

近年、誰も予想していなかった出来事により、リモートワーク、クラウドへの移行、サプライチェーンのデジタル化などが余儀なくされています。そして、このような動きのたびに、新たなサイバーリスクが発生しています。

ネガティブなことばかりではありません。CISOとサイバーセキュリティチームはこれらの課題に立ち向かうにおいて、他のCxOの支援を得ています。今回の調査対象の3,522人の回答者の70%以上が、過去1年間にサイバーセキュリティが向上したと回答しています。これは、累積的な投資とCxOの協力のおかげです。

他方、厳しい経済環境の中で、サイバーセキュリティ対策はダイナミックな対応が求められています。

  • 新たなリスクを完全に軽減できたと答えたCxOは40%未満です。
  • CISOの評価では、5つのサイバー能力(識別、検知、保護、対応、復旧)をさらに向上させる必要があります。
  • CxOは、組織に対する脅威が高まっていることを認識しており、その脅威に対処する準備が十分でないことを懸念しています。
  • 2023年には、情報開示の義務化、レジリエンステスト、データセキュリティとプライバシー保護などの課題に直面します。

サイバーセキュリティは、よりダイナミックな分野へと化しており、ビジネスの進展に合わせて急速に変化しています。

これからの課題の解決に必要なのは、ダイナミックな対応です。そのために、どのように進化を維持し、またCISOとサイバーセキュリティチームは、その最大の影響力を発揮するにはどうすれよいでしょうか。

CxOのためのサイバーセキュリティプレイブックは、PwCの最新調査Global Digital Trust Insightsに基づき、2023年に直面する課題と、サイバー有事に備え、CxOはいかに協力すべきか、を概説しています。

“スイートスポット”のサイバーセキュリティ

CISOが主導権を握り真にリードするために、独立したサイバーセキュリティ専門家の役割から踏み出し、少数の上級管理者だけでなく、CxO全体を巻き込んでいく必要があります。こうした協力体制は、これまで以上に重要になっています。

のCEO(過去に情報漏えいのあった企業では49%)が、来年度はCISOにセキュリティに関する協力を推進する権限を与えたいと考えています。

組織のビジネス計画を実現するために、CxOはいかにCISOと連携してサイバーセキュリティに関する意思決定や活動を行うかを探求します。

2023年のレジリエンス計画では、破滅的なサイバー攻撃が最重要シナリオとして挙げられています。このような攻撃は、C-suiteのアライアンスを確実に試練に立たせることになります。

経営陣の3分の2が、サイバー犯罪を来年の最も重要な脅威と考えています。サイバー犯罪者は、ますます市販のツールを使用するようになっており、さまざまな攻撃を実行し、組織化することができます。

2023年、38%がクラウド経由のより深刻な攻撃を予想

侵害の概要: 攻撃者は、企業のクラウドホスティングされたインターネット向けアプリケーションの設定ミスを利用し、ユーザーデータを盗み出し、ブラックマーケットで販売しました。

攻撃がもたらす影響: データ所有者への通知費用がかかる。企業に対する集団訴訟の可能性。企業の評判を損なうことになります。

何が問題か?: 不適切なセキュリティ、深層防護の欠如、コーディングエラー、記述されたコードとライブラリコードの不適切なテスト、不適切な暗号化されたデータが問題です。

防御を強化するための連携のあり方:

  • CIO: アプリケーション開発におけるDevSecOpsの実現と、ローンチ前の徹底したテストを行い、ユーザーと自動開発の両方から、設定ミスを修正します。
  • CISO: アプリケーションとデータの安全性確保、脆弱性・侵入テスト、定期的なパッチ適用、継続的なコンプライアンス監視、セキュリティイベント・インシデント監視(SIEM)に関するポリシーと手順を確立し、実施します。
  • CTO: クラウドサービスプロバイダとサードパーティに対して、環境全体の設定ミスを検出するためのダッシュボードとツールの提供を義務付けます。
  • CDO: アプリケーションがプライバシー要件に準拠し、顧客データがパーティション分割され、暗号化されていることを確認し、保護を強化します。データの保存時、転送時、使用時に暗号化するソリューションを導入します。

大企業の29%がOT攻撃の増加を予想

侵害の概要: 旧来の制御・運用技術制御・運用技術(OT)が抱えている生産システムの攻撃可能な脆弱性がランサムウェアの攻撃を受けるなど侵害が生じます。

攻撃がもたらす影響: 被害の拡大を防ぐために攻撃されたシステムをシャットダウンするため、生産・操業停止を余儀なくされ、サプライチェーン全体に影響が波及します。

何が問題か?: 攻撃者は、パッチが適用されていない脆弱性に対してランサムウェア攻撃を行います。この悪用される脆弱性は、会社のシステムに対するパッチの適用は行われていますが、レガシーシステムに対するパッチの管理、監視、検出能力が不足することによって検出されないまま残存していたために発生しています。

防御を強化するための連携のあり方:

  • CIO: CISOやCTOと協力して、ITシステムとOTシステムの収束や両者の重要な依存関係をマッピングします。
  • CISO: CIOやCTOと協力して、ITとOTとを分離させ、OTに直接アクセスできないように安全なランディングゾーンを開発し、また、従業員に対して適切なアクセス方法やインシデント対応時の役割に関する研修を実施するよう要求します。
  • CTO: CISOやCIOと協力して、エンドポイントのパッチ適用とモニタリングに係る計画を策定します。
  • CRO: OT環境に存在するサイバーセキュリティリスクサイバーリスクを評価する手法を開発します。ITとOTの対応プロセスをつなぎ合わせるシナリオをインクルードし、かかるシナリオの下でのインシデント対応手順を習熟させます。
  • COO: 産業用制御システムの調達プロセスにおいて、クラウドプロバイダーとの契約に際して、また、外部のサービスプロバイダーとのサービス契約を定義するに際して、サイバーセキュリティを入念に検討します。

セキュリティおよびIT担当役員の45%が、ランサムウェア攻撃のさらなる増加を予測しています。

侵害の概要: 医療従業員がフィッシング詐欺メールに添付されたファイルを開けることで、マルウェアがアクティブ化されました。

攻撃がもたらす影響: サービスに障害インシデントが発生し、病院のネットワークがほぼ完全にシャットダウンしました。

何が問題か?: アンチウィルスソフトウェアの有効期限が切れていたため、悪意のある添付ファイルに仕込まれたマルウェアを検出できなかったために被害が発生します。多要素認証がなかったことが、攻撃者に最初のアクセスを許すことになりました。その後数週間にわたり社内ネットワークで検知されなかったことから、このサイバー犯罪者は、ネットワーク内を偵察し、最終的にドメイン管理アカウントを取得します。そして、昇格された特権を獲得し、重要なITインフラストラクチャの大部分をシャットダウンしてバックアップを侵害するマルウェアの起動に成功しました。

防御を強化するための連携のあり方:

  • CEO: 全組織的なセキュリティ認識研修を支援します。
  • CIO: ITシステムと組織の環境とのつながりを再検討します。
  • CTO: 医療デバイスを狙う攻撃シナリオにおいて、当該デバイスの脆弱性を評価します。
  • COO: 類似の状況下において患者の安全確保のために取るべき対応の強化をはかるため、CIOとCISOを支援します。
  • CISO: ITと制御・運用の間に存在するセキュリティギャップを埋めます。
  • CDO: COO、CISO、CPOと協力して、顧客データの盗難や破損に伴うダメージの評価を行います。
  • CRO: 危機管理チームおよびBC/DRチームとともに、レジリエンステストを実施します。
  • CFO: CISOやCIOと協力して、規制当局や一般向けの情報開示を行う。発見された脆弱性の観点から、CISOやCIOと協力して、サイバーセキュリティ関連の支出(サイバーセキュリティ保険を含む)の再検討を行います。ランサムウェアの身代金支払いに関する会社の方針を決定します。
  • 取締役: ランサムウェア攻撃に備えた管理職による机上訓練についての理解を深めます。サイバーインシデントやランサムウェア攻撃を受けた場合、取締役に情報を上げるべきタイミングを確認します。

ランサムウェアの事象発生後の検証例については、HSEのコンチサイバーアタックをご覧ください。

本調査について

『Global Digital Trust Insights 2023』は、ビジネス、技術、セキュリティの各分野を担当するエグゼクティブ(CEO、企業役員、CFO、CISO、CIO、CxO)3,522名を対象として、2022年7月から8月にかけて実施した調査です。また、女性エグゼクティブが占める割合は全体の31%です。

回答者の52%は大企業(売上高10億米ドル以上)のエグゼクティブ、16%は売上高100億米ドル以上の企業のエグゼクティブです。

回答企業の事業分野は、製造業(24%)、技術・メディア・通信(21%)、金融サービス(20%)、小売・消費者市場(18%)、エネルギー・電力・資源(9%)、保健衛生(5%)、政府・公共サービス(3%)と多岐にわたっています。

回答者の活動拠点は以下の通りです。西欧(31%)、北米(28%)、アジア太平洋(18%)、南米(12%)、東欧(5%)、アフリカ(4%)、中東(3%)。

Global Digital Trust Insights調査は、かつて情報セキュリティに関する世界情勢調査(Global State of Information Security Survey、GSISS)と呼ばれていたものです。

本調査は、PwCで市場調査とインサイト提供を担当するグローバルな研究拠点であるPwCリサーチが実施しました。

サイバーインテリジェンス

25 results
Loading...
Loading...

インサイト/ニュース

20 results
Loading...

国際文書「OTサイバーセキュリティの原則」と重要インフラへのサイバー攻撃に関する国際動向

2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。

第2回:データマッピングとプライバシー影響評価によるリスク管理

デジタル社会において企業は個人データを活用し、価値を創造する一方、適切なプライバシーリスク管理を求められています。パーソナルデータの利活用におけるリスク評価の手法である「データマッピング」と「プライバシー影響評価(PIA)」について、重要性と具体的な実施方法を解説します。

Loading...

※本コンテンツは、2023 Global Digital Trust Insights: PwCを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください