「あなたは守られていますか？」から「あなたは手術できますか？」へ規制当局が規制だけでなく回復力を求める理由

金融機関は長年にわたり、学生が試験に備えるのと同じように監督機関による審査の準備をしてきました。チームはドキュメントを収集し、コントロールをフレームワークにマッピングし、リスト上のすべての項目をチェックしました。

規制当局はシンプルな質問をしました。「あなたは保護されていますか？」

最近フィル・パークと話したとき、その質問は時代遅れだと感じました。

Phil は 25 年以上にわたり、金融機関に対してサイバーセキュリティと規制リスクに関するアドバイスを提供してきました。彼はサーベンス・オクスリー法の初期の頃から顧客と協力し、現在はグローバルな運用の回復力に関する義務を通して顧客を導いています。  

IBM での現在の役職では、米国、ヨーロッパ、アジアの大手銀行が監督上の圧力と新しいテクノロジーのリスクを管理できるようサポートしています。

彼は時間の経過とともに期待が変化するのを見てきました。彼は、われわれが今、明確な転換点に直面していると信じている。

グローバルスーパーバイザーはもはや制御チェックのみに重点を置くことはありません。彼らは運用上の回復力を期待しています。規制当局は、ポリシーと安全策が存在することを証明するだけでは終わりません。企業は、混乱を吸収し、インシデントを封じ込め、ストレス下でも重要なサービスを継続して実行できるという証拠を求めています。

フィルが説明したように、成功とはもはや監査に合格することを意味しません。つまり、制御が失敗してもビジネスは継続して実行されるということです。

コンプライアンスチェックリスト時代の終焉

10 ～ 15 年前、ほとんどのサイバーセキュリティおよび運用リスク プログラムは、制御範囲に重点を置いていました。チームが安全策を講じ、ポリシーが明確で、プログラムが成熟していることを示した場合、規制当局は準備ができているとみなします。

時が経つにつれ、その基準は変化しました。規制当局は実際の事件の展開を観察し、紙による管理が圧力によって失敗することが多いことを知った。

「最も大きな変化は、『我々は保護されているか？』という問いから、『混乱の中でも事業を運営できるか？』という問いへと移行したことだ」とフィル氏は語った。

攻撃者は、ランサムウェア、サードパーティの停止、クラウドの誤った構成、サプライチェーンの侵害によって金融セクターを攻撃しました。影響を受けた機関の多くはコンプライアンス要件を満たしていました。彼らは監査に合格し、要件を満たしていました。

サービスは依然として失敗しました。顧客は混乱を感じ、株主は信頼を失いました。

これらの出来事により、規制に関する期待が再形成されました。デジタル運用レジリエンス法 (DORA)などのフレームワークでは、サイバーインシデントが発生することを想定しています。規制当局は、理論上攻撃を防止できるかどうかを問わなくなりました。実際に回復力を証明できるかどうかを尋ねます。

Phil 氏は、この変化を静的評価から動的評価への移行だと説明しました。規制当局は現在、規制の存在を超えて注目しています。実際のシナリオで制御がどのように機能するか、システムに障害が発生したときにリーダーがどのように行動するかを調べます。

混乱が起こったとき、テクノロジーだけが試練ではない

フィルは一つの点を明確にしました。現代の規制当局は技術的な管理の先を見据えています。

「規制当局は完璧さをあまり求めていない。完璧は不可能だとわかっているからだ」とフィルは語った。「彼らがもっと気にかけているのは、何か問題が起きた時の対応の質です。」

インシデントが発生すると、規制当局はリアルタイムでどのように対応するかを調査します。彼らは以下のことを調査します。

• チームが問題をどれだけ迅速かつ明確にエスカレーションするか
• 上級リーダーが重要な決定について合意しているかどうか
• サイロ化によって調整が遅れるかどうか
• 規制当局、顧客、取締役会とのコミュニケーションがどの程度うまく取れているか
• 重要なサービスの依存関係を理解しているかどうか

回復力はファイアウォールや検出ツールだけに依存するものではありません。それは、セキュリティ イベント発生時に企業がどのように行動するかに表れます。

詳細なインシデント対応計画があるかもしれません。しかし、1 人がエスカレーションを制御すると、すぐにギャップが生じます。  

危機の際に法務チームとセキュリティチームが衝突すると、問題は拡大します。チームが行動を起こすのではなく、重大度レベルについて議論すると、遅延が増加します。

規制当局はもはや完璧さを期待していない。彼らは違反が起こることを知っています。彼らが評価するのは、ストレス下でどれだけうまくパフォーマンスできるかです。

規制の監視は管理から結果へと移行している

以前のコンプライアンス重視の時代では、物語が重視されていました。セキュリティ管理を明確に説明し、構造化されたガバナンスを示すと、規制当局は満足することが多いです。

その基準は変わりました。

「私が見ている最大のギャップは、多くの企業がフレームワークとヒートマップに頼っている一方で、規制当局は行動と結果を見たいと考えていることだ」とフィルは語った。

彼は、今では証拠が説明を上回っていると強調した。上司は、次のような具体的な証拠の提示を求めます。

• シナリオテストとシミュレーション演習の結果
• 過去の混乱の記録とそれを解決するために取った手順
• フェイルオーバープロセスが設計どおりに機能することの証明
• 重要なサービスとそれをサポートするシステム間のリアルタイムの追跡可能性

計画が存在することを表明することはできなくなります。それをテストし、学んだ教訓に基づいて改善したことを示す必要があります。

実際には、現実的な演習では多くの回復力のギャップが明らかになります。仮定は失敗します。サービス マップには重要な依存関係がありません。エスカレーション パスにより意思決定のボトルネックが明らかになります。

規制当局は、こうした調査結果を弱さではなく成熟の兆候と捉えることが多い。彼らは、あなたがギャップを認め、それをすぐに修正することを期待しています。

報告の負担はますます重く、速くなっている

運用の復元力を構築するだけでなく、セキュリティ インシデントを報告する必要があります。

米国では、金融機関は連邦銀行規制当局、州当局、証券取引委員会 (SEC) の開示規則、および業界ガイダンスに従います。欧州では、DORA が重大な情報通信技術 (ICT) インシデントの報告期限を厳しく設定しています。

危機が起きるまで対応策を計画することはできません。インシデントが発生する前に、ガバナンス、ワークフロー、エスカレーション パスにレポートを組み込む必要があります。

これをうまく処理する組織は、明確なレポートプレイブックを作成します。通信プロトコルをテストし、ドキュメントに簡単にアクセスできるようにします。法務、サイバーセキュリティ、コンプライアンス、リスクの各チーム間で、遅延や混乱なく連携します。

事件が起こっている最中に事実を収集して、正確さを期待することはできません。規制当局は、迅速で一貫性があり、正確なレポートを期待しています。また、複数の当局が同じイベントを審査する場合でも、アカウントが管轄区域間で整合されたままであることが求められます。

AI: 新しいツール、同じ規律

AI は現代の環境に新たなリスクをもたらします。

脅威の攻撃者はすでに AI を使用して、より説得力のあるソーシャル エンジニアリング キャンペーンを作成し、大規模なマルウェアを自動化しています。同時に、多くの組織が重要なビジネス オペレーションに AI エージェントを組み込んでいます。

フィルは、セキュリティ上の根本的な課題は変わらないと警告した。多くの企業は、明確なガバナンス、強力な ID 制御、資産とデータ フローの完全な可視性なしに AI プラットフォームを導入しています。

AI は強力なセキュリティ基盤に取って代わるものではありません。多くの場合、それは弱い管理と不明確な所有権を増幅させます。

AI の急速な導入により、基本的な運用規律がこれまで以上に重要になります。

金融業界のコンプライアンスを「合格する」とは、現在では何を意味するのでしょうか?

この新たな監督の時代は厳しい現実をもたらします。明確なゴールラインはありません。

チェックリスト駆動型モデルでは、コンプライアンスとは必要なタスクを完了することを意味していました。基準を満たし、先に進みました。

回復力主導型モデルでは、成功は変化します。それは、実際のストレス下でどれだけうまくパフォーマンスできるかによって決まります。

フィルは、危機の際には想定が失敗することが多いと説明した。真の準備状況は、チームがどれだけ迅速かつ効果的に対応するかでわかります。

フィルが言ったように、「口を殴られるまでは誰もが計画を持っている」のです。

今日、規制当局は完璧さではなく行動によって合格を定義しています。彼らは、あなたが弱点を認め、実用的な改善計画を概説し、着実な改善を示すことを期待しています。彼らは、土壇場での英雄的行為ではなく、日常のプロセスに組み込まれた規律を望んでいます。

監督者は完璧なシステムを期待していません。彼らは、事前に準備し、透明性を持って運営し、ギャップが生じたときに責任を取る成熟した組織を期待しています。

サイバーリスクは今や運用モデルリスクである

この変化はより大きな真実を反映しています。サイバーリスクはもはや IT だけの問題ではありません。

現在、多くの組織では CISO を組織内のより上位の地位に位置付けています。取締役会はサイバー上の成果に対しても直接責任を負います。

規制当局は管理フレームワークを超えて見ています。運用モデル、意思決定パス、チームがビジネス全体でリスクを管理する方法を確認します。

レジリエンスは現在、中核的なビジネス能力として機能しています。それは、計画、投資、そして混乱への対応の仕方を決定します。

サイバーセキュリティをサイロ化された技術機能として扱うと、この環境では苦労することになります。

リーダーシップ、日常業務、ベンダーの監視、経営幹部の意思決定に回復力を組み込めば、より強固な立場を築くことができます。規制当局や現実世界のインシデントに対して、より適切に備えることができます。

The Segment:ゼロトラストリーダーシップポッドキャストの全エピソードを聴くApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.