KPMGのパートナーであるIndy Dharmiが、サイバーレジリエンスのどこから始めればよいかを説明します
従来の情報セキュリティからサイバー・レジリエンスへの移行は、単なる進化ではなく、革命です。
今日のサイバーセキュリティの焦点は、単に資産を保護することから、絶え間なく高度化する脅威に直面してもビジネスを継続できるようにすることへと移行しています。このようなレジリエンスの考え方は、企業がサイバー脅威から身を守るだけでなく、新たな課題に迅速に立ち直って適応するのにも役立ちます。
ポッドキャスト「セグメント:ゼロトラスト・リーダーシップ」の最新エピソードでは、KPMG UKのパートナーであるインディ・ダーミに話を聞きました。過去 20 年間における業界の進化、サイバー・レジリエンスがかつてないほど重要になっている理由、ゼロトラスト・セキュリティ・イニシアティブに対する企業の賛同を得る方法を明らかにしました。
KPMG UKのパートナー、インディ・ダーミについて
サイバーセキュリティ業界で20年以上働いてきたIndyは、KPMG UKのパートナーとしての役割に豊富な経験を活かしています。彼のキャリアは2000年代初頭に建築事務所でIT管理を始め、そこでサイバーセキュリティに興味を持つようになりました。
Indyのキャリアは、グローバル認定情報セキュリティ管理システムの構築を支援したことで一変しました。彼はさらに専門知識を磨き、ヨーロッパをはじめとする世界各地の大規模なセキュリティ変革プロジェクトを主導しました。KPMGに入社する前、インディはサイバー企業に投資するシンガポール政府出資企業で働いていました。
KPMGでは、インディはデジタルトランスフォーメーションのリーダーであり、さまざまなセクターを新たな脅威から守るための革新的な戦略を推進しています。キャリア・メンタリングとコーチングに情熱を傾け、本物のリーダーシップを通じて前向きな文化的変化を促しています。
レジリエンスによるサイバーセキュリティの意識問題の解決
Indy がサイバーセキュリティ業界で働き始めた時、サイバー攻撃に対する緊急性の欠如と、それが壊滅的な侵害に発展する可能性を覚えています。
ある時、彼は会社の経営陣と一緒に危機シミュレーションを実施しましたが、彼らは自分たちの組織で攻撃が起こるとは考えていませんでした。「このようなことはほとんど考慮されていませんでした」とインディは説明しました。
それでも、ニュースでサイバー攻撃が蔓延していると、サイバー攻撃が日常的に行われているという認識につながることが多く、その真の影響を覆い隠していると彼は考えています。
「物事は十分に報道されていない」とインディは言った。「つまり、サイバーセキュリティがなぜそれほど重要なのか、一般大衆にはまだ「なるほど」という瞬間がありません。」
このような一般市民の認識のギャップにより、サイバー・レジリエンスの必要性はかつてないほど重要になっています。侵害の防止や検出に使用してきた従来のツールに対する今日の一般市民の認識だけでは十分ではありません。すべての侵害を阻止することが不可能な場合、組織は侵害が発生した場合にそれを阻止する準備を積極的に行う必要があります。
サイバー・レジリエンスの始め方:リスクアペタイトとトレランス
だからこそ、サイバー・レジリエンスは非常に重要です。「今、ニュースでサイバー攻撃を1、2、3回目にするかもしれません」と彼は言います。「サイバー攻撃はますます蔓延しており、人々はセキュリティリーダーに対してより難しい質問をするようになっています。」
従来の情報セキュリティからサイバーレジリエンスへの移行は、ゲームチェンジャーです。もはや問題を解決するだけではなく、危機的状況下でも業務を維持することが重要なのです。
「レジリエンシーとは、サイバー・レジリエンスだけでなく、オペレーショナル・レジリエンスもすべて、予期せぬ事態が起きても私がどのように機能し続けることができるかということです」とインディ氏は言います。
これは、サイバー攻撃による混乱に耐えられるインフラストラクチャの緊急の必要性を浮き彫りにしています。サイバーインシデントの頻度が増加するにつれて、セキュリティリーダーは強固なレジリエンス戦略を策定するよう圧力をかけられています。
では、組織はどこから始めればよいのでしょうか。A) ゼロトラスト戦略 は、サイバー・レジリエンスに取り組む最善の方法の1つです。ゼロトラストは、「決して信用せず、常に検証する」というモットーに基づいた、世界的に検証された戦略です。ネットワークセグメンテーション(別名)により、組織が侵害に積極的に備えるのに役立ちます。 ゼロトラストセグメンテーション (ZTS)、その核心に。
ゼロトラストを構築するにあたり、インディは次の 2 つの質問をすることをお勧めします。
- サイバーセキュリティに関するリスクアペタイトはどの程度ですか?
- 自分がその許容範囲内にあるか外れているかを判断できるデータポイントは何か?
Indy の経験では、これにより、ビジネスリーダーはビジネスで最も重要なこと、最初に保護する必要があるもの、そのために必要な情報やツールの種類をより明確に把握できます。
サイバーセキュリティをチームスポーツのように扱う
インディ氏はまた、政府のサイバーセキュリティに関する義務やガイドラインが、公共部門と民間部門の両方の組織がレジリエンスの目標を達成するのにどのように役立つかについても強調しました。
次のような米国連邦ガイドライン CISAのゼロトラスト成熟度モデル (ZTMM) または欧州連合 DORA と NIS2 の義務 あらゆる規模や業界の組織に段階的なガイダンスとベストプラクティスを提供します。
Indy がこれらの文書で重視している主な要件は、ネットワークとワークロードのトラフィックフローをリアルタイムでエンドツーエンドで可視化することです。
「まず、環境内の物事がどのように相互作用するかをよく理解する必要があります」と彼は説明しました。「しかし、すべてのサプライヤーと上流と下流の依存関係は、システムレベルでどのように相互作用しているのでしょうか?」この情報があれば、チームはネットワークが危険にさらされていることを理解し、適切なセキュリティ管理を実施することができます。
ネットワークのインフラストラクチャを深く掘り下げるということは、組織全体のチームを巻き込むことを意味します。Indy にとって、ナビゲーションを成功させるには、セキュリティを「チームスポーツ」に変える必要があります。協調的なアプローチを取ることで、レジリエンスが育まれ、サイバーセキュリティへの取り組みが組織全体の目標と一致するようになります。
ゼロトラストをビジネス目標に結び付ける方法
Indy の視点から見ると、ゼロトラスト戦略は、セキュリティリーダーがサイバーがビジネス目標とどのように連携しているかについて、より良いストーリーを伝えるのに役立ちます。
「シーンを設定し、正しい方法でフレーミングし、取締役会のリーダーの共感を呼ぶことがすべてです」とインディは説明しました。
ゼロトラストは、セキュリティを技術的統制の領域から切り離すため、サイバー攻撃の賛同を得るのに役立つフレームワークです。
Indy は、セキュリティリーダーがチームのイニシアチブとニーズを提唱する際には、次のようなアプローチを取ることを推奨しています。
- 常にビジネスの目標から始めましょう: 「ビジネス戦略を把握し、年次報告書を手に取り、ビジネスが何をしようとしているのかを理解し、それをセキュリティ計画と重ね合わせてください。」
- ゼロトラストの原則を戦略的ツールとして活用しましょう。 「ゼロトラストが戦略的柱を使って [会社] をどのようにサポートできるかを説明してください。」
- テクノロジーを最後まで保存: 「そうすれば、これらの各ポイントを実現するために必要な技術管理に取り掛かることができます。」
「消耗品のように分解するんだ」とインディは言う。
「セグメント:ゼロトラスト」ポッドキャストを聴いて、購読して、レビューしてください
もっと詳しく知りたいですか?Indy をオンにしてエピソード全体を聴きましょう弊社ウェブサイト、アップル・ポッドキャスト、Spotify、またはポッドキャストを入手できる場所ならどこでも。エピソードの全文を読むこともできます。
ゼロトラストの詳しい情報については、近日中に公開します!