サイバーセキュリティ

 

「企業に対するサイバー攻撃の影響を、私たちはこれまでに何度も直接目の当たりにしてきました。サプライチェーンには攻撃者が悪用しようとする箇所が数多く存在しますが、直接の取引先が抱える潜在的なリスクを十分に把握している企業は14%にとどまっています。

　だからこそ、私たちは英国を代表する企業各社に書簡を送り、サイバーセキュリティを強化するための具体的な手順を示しました。そこには、Cyber Essentials（サイバー・エッセンシャルズ）制度を用いたサプライチェーンの保護という、あらゆる企業が優先すべき個別の対策も含まれています。

　NCSCと共に作成した『Cyber Essentials サプライチェーン・プレイブック』は、組織がサプライチェーンをより効果的に管理し、事業運営が各段階で確実に守られるよう支援することを目的としています。」

組織のほとんどの活動には何らかのリスクが伴い、その中でもセキュリティリスクは非常に動的になり得ます。HSEリスク（健康・安全・環境リスク）は本質的に受動的であるのに対し、セキュリティリスクはその性質上、意図をもって能動的に生じます。そこには常に敵対的な人間の行動／意図が介在します。したがって、セキュリティリスク評価（SRA）とHSEリスク評価の定義やプロセスは根本的に異なり、HSEの定義やプロセスはセキュリティの文脈では適切ではありません。単純な「確率 × 影響」のマトリクスでは、セキュリティ脅威の動的な性質を十分に扱うことはできません。

敵対的な環境で活動する組織は、直面するあらゆるセキュリティ脅威を取り除くことはできませんが、可能な範囲で自らの管理下にあるセキュリティリスクを低減するよう努めるべきです。セキュリティ上の脅威や敵対者は絶えず進化しており、最近の事象や今後起こり得る事象がそれを示すでしょう。

セキュリティリスク評価は、セキュリティリスク全体のマネジメントにおける基本要素です。優れた組織は、次のようにしてセキュリティリスクを管理します。

• 脅威の特定と分析

• 脅威から派生する固有のリスクの評価

• 将来の事象や状況（意図的／非意図的）の可能性とその影響の評価

• 緩和策の実施

SRAは、経営がどのように意思決定を行うかに関するプロセスを支援し、

オーストラリア信号局（ASD）は、さまざまなサイバー脅威から組織を守るため、優先度付けされた緩和戦略を「サイバーセキュリティインシデントを緩和するための戦略」として策定しました。これらの緩和戦略の中で最も効果的なものが「エッセンシャルエイト」です。

エッセンシャルエイトは、組織のインターネットに接続された情報技術（IT）ネットワークを保護するよう設計されています。エッセンシャルエイトの背後にある原則は、エンタープライズモビリティやオペレーショナルテクノロジー（OT）ネットワークにも適用可能ですが、もともとその目的で設計されたものではないため、これらの環境に固有のサイバー脅威に対しては、別の緩和戦略の方が適している場合があります。

2017年6月に初版が公開され、定期的に更新されているエッセンシャルエイト成熟度モデルは、エッセンシャルエイトの実装を支援します。これは、ASDがサイバー脅威インテリジェンスの作成、サイバーセキュリティインシデントへの対応、ペネトレーションテストの実施、そして組織のエッセンシャルエイト導入支援を行ってきた経験に基づいています。