多くの業界がサイバーセキュリティ体制の改善に力を注いでいます。改善の気運の高まりを見ると、TwistedSisterの 楽曲 の歌詞「We’re not gonna to take it … anymore! (もうこれ以上は要らない!)」が聞こえてきます。
情報漏えいに関する報道が増加するにつれ、コントロールがきかない情報漏えいの問題を何とかしようと、戦いの衝動が湧き上がります。
サイバーの脅威と最良の対策に関する情報を共有するため業界が団結を強めています。以下にいくつかの例をご紹介しましょう。
- メンバーが運営する非営利組織のFinancial Services Information Sharing Analysis Center (FS-ISAC) は、金融サービス企業ならびにセキュリティ提供企業から成るグループであり、共同で脅威に関する情報とその分析ならびに推奨する対策を共有しています。小売業、ヘルスケア、エネルギーならびに航空機産業等の他の業種においても同様のものが設立されつつあります。
- ヘルスケア、テクノロジならびに情報セキュリティ大手企業が協力している北米機関HITRUSTは、極秘情報や規制を正しく行うべき種類のデータの作成、アクセス、保管や交換を行う全ての組織に使用可能なCommon Security Framework (CSF) を制定しました。
- Retail Cyber Intelligence Sharing Center (R-CISC) は、小売業者向けの参加型の組織であり、情報の共有、研修ならびに調査結果の利用が可能です。
- 国土安全保障省や各種の情報機関等の特殊な政府機関が存在します。
目的及び事業モデルは各グループにより異なりますが、重要なことは、サイバーセキュリティの改善という共通の目的をもって行動がなされることです。 同業者間で情報が共有されることで、脅威のダイナミズムが激しい領域において、留意事項ならびに最良の対策の比較を行うことが可能となります。
多くの場合、ある特定のタイプの組織に関する脅威への戦略は、同業種の他の組織においても見ることができます。しかし脅威からの保護のための情報の共有には課題があります。 それを実用可能なものとするには、あまりにも大量の情報を精査しなければならないのです。テクノロジの進化がこの助けとなるというのは良いニュースです。
別の形態においては多くの業種が参加するサイバー対策があげられます。つい先日、加入者を合計するとアメリカの人口の60パーセントを占めることになる医療保険企業の数社が、組織の対応の評価ならびに情報漏えいの影響の最小化を目的としたサイバー対策であるCyberRX 2.0に参加しました。Health Information Trust Alliance (HITRUST) ならびにDeloitte Advisory Cyber Risk Servicesもこれに参加しています。Deloitteによると、ヘルスケア業界の興味深い特性を攻撃シナリオが明らかにしました。同業種の組織が情報を共有し、同様の課題に参加することは重要な事です。
調査会社のIDCの予測によると、ヘルスケア業界の情報が他の業種の情報価値に比べて50倍に達すると見通し、2016年にヘルスケア業界の情報漏えいは減少しないと言います。IDCは、2016年にヘルスケアに関する情報の3分の1が被害を受けるとの予測を示し、警鐘を鳴らしています。
これは業界が情報テクノロジならびに制御テクノロジ両方に渡るセキュリティに対する遅れを受け入れるためのデジタル転換期を示しています。デジタルデータは効率を高め取扱いも容易ですが、その代償として患者の個人情報が危険に晒されます。
患者の安全とは何でしょうか?自分の健康状態が侵害されている機器により監視され、誤った情報がもたらされることを想像してみてください。診断や治療は生死に関わる可能性があります。また、不正請求が医療費の10パーセントに上っている事実もあります。これは是正必要の理由となるでしょう。
北米では350を超える組織および電子機器産業ならびに国及び州政府から3,000人が参加し、North American Electric Reliability Corporation (NERC) による、業界横断の2日間の集中的な取り組みとして、グリッドセキュリティならびにインシデントレスポンス演習であるGridEx IIIが実施されました。参加者数は2011年の200社からほぼ倍増となりました。
インシデントの報告が最多の業種にとってはこの前向きな取組みは重要です (CERT)。エネルギー等のきわめて重要なインフラの機能が毀損された場合の影響を考えます。それは破壊的な波及効果を有する可能性があるでしょう。機械の電源が失われれば事業は停止し、ビルや家屋では空調や照明を使用できず安全への不安が増大します。
2011年以来、金融サービス企業は、Securities Industry and Financial Markets Association (SIFMA) ならびにサービス・プロバイダのNorwich University Applied ResearchとQuantum Dawnと呼ばれるプロジェクトにおいて連携し、サイバーセキュリティ対策を実施してきました。2015年9月には、以前の対策運動より得られた教訓に基づき、システム攻撃発生時のマーケット機能の維持手順の実行に重点を置いたQuantum Dawn 3が策定されました。
これらの施策には、株取引や手形交換に影響を与える重要インフラの機能低下シミュレーション、ビジネス継続性、株式操作、ITセキュリティの調和を要求される内部処理の予行演習、また企業と公共部門間の相互交流実行も含んでいます。
新たなCIO、Tony Scottによるリーダーシップの下、アメリカ連邦政府が昨夏、30日間にわたり集中的にサイバーセキュリティ体制の評価を行いました。 その進展ならびに4つの特定のセキュリティに関する抜け穴への対策において直面している全ての課題について、連邦機関が報告を行いました。この結果は行政管理予算局のCyber Security Strategic Implementation Plan (CSIP) に、ギャップに取り組むための規範計画とともに反映されます。
「ペネトレーションテストにより自社のセキュリティは既に評価されている。これはペネトレーションテストとどう違うのか?」と言われるかもしれません。
これらは、テクノロジ、プロセスならびに人における脆弱性を特定するという目的において同様のものでしょう。これらのテストおよび評価は、組織のサイバーに関する回復力に洞察をもたらすものです。これらの公共性の高い業種の取組みにより、その議題ならびに前向きな取組みが強化されます。国民はもはや、情報漏えいに関してのみを問題視しているのではありません。 このサイバー脅威に対抗する業界による取組みを私は称賛します。
サイバーセキュリティの改善を目的とした業界一丸となった取り組みに関するあなたの考えはどのようなものでしょうか?
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
