2021年5月、コロニアル・パイプラインがダークサイド・ハッカーの標的となった際、CEOのジョセフ・ブラウントは440万ドルの身代金を支払うという非常に物議を醸す決断を下した。この攻撃により米国の重要なインフラが危機にさらされ、ジョー・バイデン大統領への毎日のブリーフィングにつながった。ブラウントは、身代金支払いを国家にとって必要なものと正当化し、この決断を自身のキャリアで最も困難なものの1つであると述べた。 「私たちは苦境に立たされ、どの企業も直面したくないような難しい選択を迫られた」と、ブラウントは米国上院国土安全保障・政府問題委員会で証言した。 2023年にはランサムウェアの支払額が過去最高の11億ドルに達するなど、企業リーダーにとってこのような難しい選択が頻繁に行われるようになってきている。 攻撃が発生するか否かが問題なのではなく、いつ発生するかが問題であると理解する CSO や CEO も増えている。 「私にとって最も大きな変化は、攻撃が起こることを完全に受け入れるようになったことだ」と、ISTARIとオックスフォード大学が発表した報告書によると、40億ドルの欧州企業のCEOは述べている。「信じてほしいが、攻撃が起こることを受け入れる組織と、攻撃を撃退できると考える組織では、アプローチに根本的な違いがある」 情報漏えいの必然性を受け入れるという考え方により、企業は今日よりもサイバー攻撃への耐性を高めることができる。 多くの場合、企業はレジリエンスを規制当局へのチェックリスト作成作業と捉え、攻撃後に本当に立ち直るために必要なものをすべて CISO に提供することを怠っている。 RapidFort の CEO であるファリマーニ氏は、サイバーセキュリティ事件に耐えて回復する能力は、コンプライアンスを超えた考え方の転換が必要だと語る。 「確かに、重要なソフトウェアとデータのバックアップは完了している、というチェックボックスに常にチェックを入れてきたが、不測の事態が発生した場合に迅速に復旧できるだろうか、それとも2週間かかるだろうか? そのようなシステムがすべて正常に機能していることを常に確認できているだろうか?」とファリマーニ氏は CSO に語っている。 4月に発表されたバラクーダのレジリエンスに関する報告書によると、サイバーリスクへの対応能力について1から10の数字で評価するよう求められた際、ITセキュリティのリーダーの多くは悲観的な見方を示した。金融サービス機関が最も準備が整っているようで、55%が自社のセキュリティ体制を非常に有効であると評価した。一方、工業および製造部門で事業を展開する企業の32%のみが楽観的な見方を示し、小売業ではその数字は39%であった。一般的に、小規模な企業ほどサイバー脅威への対応に自信がない。 地政学的な不安定さ、人工知能、富の不平等の増大に伴い、最高情報セキュリティ責任者(CISO)は、組織のサイバー防御をさらに強化するだけでなく、サイバー攻撃が発生した場合に迅速に回復できるよう、最悪のシナリオに備える手助けもしなければならない。 サイバーレジリエンスが脚光を浴びる…
Tag: