Kumar Ritesh
Chairman & CEO
サイバー犯罪者は、世界のどこかにいるマニアではなく、洗練された、革新的で高度に組織化されたスレットアクターへと進化しました。 つまり、企業は急速に進化するサイバー攻撃に常に対応し、重要な資産を守るために最新のサイバーセキュリティ制御を採用し続ける必要があります。
組織がサイバーセキュリティ戦略を立案する場合、リスク管理を実行するためだけの断片的な活動と見なしてしまう恐れがあります。策定したセキュリティ戦略を複数年にわたって運用し続けてている組織を、私は何度も見てきました。サイバーセキュリティが目指すゴールは長期的に考えなければなりませんが、戦略は決して固定されるべきではありません。やはり戦略は常に可変であり、進化し、アップデートされることが重要です。
急速に進化するサイバー脅威環境を生き残るには、ダイナミックなサイバーセキュリティ戦略で対処するしかありません。いくつかポイントをあげると:
• 最新の脅威、攻撃面、およびリスクに沿って、サイバーセキュリティ戦略を迅速に適正化できるような体制を構築します。 これは、外部の脅威の状況を継続的に監視し、組織のサイバーセキュリティプロセス、技術、および人に対して評価する「外部」プロセスと組み合わせる必要があります。 サイバーセキュリティ戦略の定期的な見直しによって、ビジネスに対する潜在的なリスクを評価し、抑制することができます。
• 進化するサイバー犯罪を防ぐためのビジョン、ミッション、ビジネス目標を作成します。セキュリティに対する組織の心構えと、継続的に外部および内部の脅威から自社を守る方法を検討し、実際のビジネスに視点を置いたアプローチを採用します。
• 新たな脅威が発生するたびにセキュリティインフラを大幅に変更することは非現実的かつ経済的に不可能ですが、「アジャイル」で「過渡期」のサイバーセキュリティ戦略はその有効性について再評価することはできます。セキュリティ管理(事実上は戦術)の四半期ごとのレビューは、可能であり、とても有効です。
• 最初からサイバーセキュリティの視点で、全てのビジネスイニシアチブと現在のビジネス目標の変更を評価する「セキュリティ・ファースト・アプローチ」を採用します。これにより、ビジネスプロセスや業務は、よりセキュアに変わり、セキュリティ手順を導入するための「改修」コストも低減します。
サイバーセキュリティ戦略にこれらを組み込むことで、現実的に限られたリソースと時間のバランスを保ちながら、組織のセキュリティ体制を維持し最適化できるでしょう。
サイバーセキュリティはIT技術のオプションではありません。 企業活動のパワーを最大限に発揮させるためには、あらゆる基本機能を考慮しなければならないビジネスの基本的な柱です。
各組織は、事業活動をどのように実行するのか、またどのような変更がリスク対応に影響を与えるのか、そのニーズを評価する必要があります。経営者は、セキュリティアーキテクチャがビジネスのニーズを反映し、サイバーセキュリティ戦略を実行している人々がビジネス目標とリスクのバランスを重視したプロフェッショナルであることを認定する必要があります。
また、自社の製品技術と導入しているサイバーセキュリティサービスが、戦略に沿っているか見極めなければなりません。
