• Bookmark

サイバー脅威トップ5の影響を低減するCOBIT 5の活用法

スー・ミルトン(CISA、CGEIT)著

COBIT Focus | 2017年4月3日 Chinese Simplified | English | Spanish

2017年も サイバー侵害は増加の一途 をたどり、ビジネスだけでなく 個人の私生活 にも影響を与えている。


その脅威を制御することは可能なのか?サイバー脅威の管理は「触れてはいけない問題(elephant in the room)」なのか?


サイバーレジリエンスは重大な項目であるにもかかわらず、その目標と目的が判然としないままセキュリティ費用が増大し続けるため、多くの経営者たちはこのリスクから目を背け続けているのが現状である。


鍵となるのは、侵害の原因および侵害がどこでどのように表面化するのかを評価し、その影響と結果を定義してから制御の方法を選択することだが、これは理論としては単純だが実際には容易なことではない。組織には直接管理できない事柄が多数あるからだ。リスクとはこれまで主に内部から発生していたため、これを識別し評価して管理下におくことは困難ではなかったし、このようなリスクは今でも確かに存在している。しかし、昨今は原因、時、場所、手法、首謀者についてまったく管理できない外部からの脅威が幅広く存在しているのが実情である。つまり、管理というコンセプトはリスク(内部)から脅威(外部)へとその対象を広げる必要に迫られているのである。


しかし、サイバー脅威はその細部が極めて多様なため、企業のリーダーシップが問題の規模を把握しきれず、トップダウンで管理することが難しくなっている。そこで正しい方向へ導くフレームワークを提供してくれるのが COBIT 5 である。


ラインアップにはTransforming Cybersecurity が加わり、サイバー脅威に対するハイレベルな視点と COBIT 5 for Information Security へのマッピングを提供している。しかし、サイバー脅威は従来の脆弱性に帰来しているため、組織はより包括的なフレームワークによって組織全体を守る必要がある。たとえば、COBIT 5 for Risk 付録Bは、技術 およびソフトスキルの両方をカバーする包括的なプラクティスのセットを、COBIT 5 for Assurance は弱点を識別する手法を提供している。さらに、COBIT 5 for Information Security はシステムを保護するために必要なコントロールを識別するものである。


これらによって実行できる内容は以下のとおりである。

  • 人的かつ技術的な脆弱性をどこで識別するか見極める(COBIT 5 for Assurance のセクションB4-7を参照)
  • 脆弱性が生まれる理由を理解する(COBIT 5 for Assurance 付録D2、COBIT 5 for Risk 付録B、MEA01を参照)
  • リソースには限りがあるため、どの組織にも存在するトレードオフを理解するのに役立つ原因と結果を識別する(COBIT 5 for Risk 付録B、AP008)
  • 技術的かつ行動的セキュリティ及びコントロールを評価する(COBIT 5 for Information Security 付録D-G)

著者自身は、Level 3 Communications からの脅威がビジネスコミュニティに対する攻撃の代表格だと考えているが、これにCOBIT 5を適用すると(Level 3 Communicationsからのソースマテリアル、著者がCOBIT 5を用いて詳細を追加)、以下のような概要が浮かびあがる。


ネットワークおよびアプリケーション層攻撃
原因—DDoSツールの利用が可能、未知の場所および無制限の継続力を備えた妨害者の数、保守されていないハードウェアおよびソフトウェアコンポーネントに対する制御
影響—サーバーおよびネットワークの妨害、ピギーバック攻撃が他の場所で発生する可能性
結果—事業の中断、攻撃の排除およびサプライチェーンの信頼を取り戻すための機会費用
管理—攻撃を停止させることは非常に困難なため、組織には堅固な内部検出、監視、是正手段の機能が必要であり、 あらゆる疑わしい動きを報告できる能力とそれに対処する機動性が求められる


ソーシャルエンジニアリング
原因—正当に見せかけた偽のコミュニケーション、脆弱なスタッフ、ガバナンスの弱さ、行動およびセキュリティの慣習
影響—重要な情報へのアクセス、盗難、外部の人間による物理的およびバーチャルなアクセスが可能
結果—競争上の優位性の損失、サプライチェーンの信頼損失、組織全体としての社会的評価の下落、規制違反、他のすべてのデータの完全性に疑い
管理—全構成員向けの対ソーシャルエンジニアリングトレーニングおよびスタッフの支援管理、ポリシーに準じて一貫した役員/経営陣の行動、攻撃を受けたと思う人は誰でもそれを報告できるポリシーなど、大半はソフト面のスキル管理となる。技術的管理は上記の通り。


標的型攻撃(APT攻撃)
原因—脆弱性を悪用しシステムへの「バックドア」を作成
影響—認証情報やデータへのアクセスと盗難、明白な妨害がないためどの程度の期間これが続いていたのかを判定するのが困難
結果—上記ソーシャルエンジニアリングと同様
管理—上記ネットワークおよびアプリケーション層攻撃と同様


犯罪組織
原因—ネットワークおよびアプリケーション層攻撃、ソーシャルエンジニアリング、標的型攻撃(APT攻撃)の実行能力
影響—上記ネットワークおよびアプリケーション層攻撃、ソーシャルエンジニアリング、標的型攻撃(APT攻撃)と同様であるがはるかに大規模。被害は組織にとどまらずサプライチェーン、顧客、またその家族および取引銀行にまで波及。
結果—知的財産および機密データは犯罪者の利益のために悪用され、さらに多くのデータが闇市場で利用可能となり、ランサム(身代金)要求および恐喝が発生
管理—上記ネットワークおよびアプリケーション層攻撃、ソーシャルエンジニアリング、標的型攻撃(APT攻撃)と同様、警察機関と協力し犯罪の証拠が保存されていることを確保、弁護士と協力し法的責任追及を考慮、メディアに対するコ ミュニケーションポリシーおよび実務を確立


大規模なデータ侵害
原因—上記すべて
影響—機密データの流出、事業の妨害
結果—信頼の損失、業務及び評価の回復のための高いコスト
管理—上記ネットワークおよびアプリケーション層攻撃、ソーシャルエンジニアリング、標的型攻撃(APT攻撃)、犯罪組織と同様


結論

サイバー脅威に焦点を当てた対処には以下の点が重要である。

  • Transforming Cybersecurity から始め、COBIT 5 for Information Security から関連する側面を適用する
  • 360度評価、保証、行動プランのため COBIT 5 for Risk および COBIT 5 for Assurance まで範囲を広げて採用する
  • 高いクオリティ、顧客志向のサービス体制、有効性と効率性を高めてステークホルダーの価値を高めるといった組織の成長を可能にする COBIT 5 のイネーブラーの観点で、攻撃の識別、制御、マネジメントがどのように組織の全体的な目標をサポートしているか、最終的なクロスチェックで確認する1

一つの脅威をより確実にコントロールできれば、他の脅威の発生可能性と影響も低減される。目を背けず、この問題に正面から取り組むべきである。


編集後記

本記事はAPMG Internationalのホームページにて ブログポスト として掲載されたものを許可を得て再版されたものである。


スー・ミルトン(CISA、CGEIT)氏

はIT監査のプロフェッショナルおよびガバナンススペシャリストとして、組織内および組織間における事業リレーションシップの有効性に影響を及ぼす組織行動、ステークホルダーとの関係、人とITの相互作用といったガバナンスにおける無形の側面に深く精通している。2015~2016年にかけ、ミルトン氏はSouth African Development Communityと共同でガバナンスに対する無形リスクの管理し、Asian Development Bankにてミャンマーの市場経済への移行を支援し、そしてAPMG InternationalにてCOBIT 5のプロモーションに努めた。氏は現在、国家コーポレートガバナンスコードに対する変更案についての英国政府グリーンぺ―パーのガバナンス課題、またブレグジット(EU離脱)、サイバー脅威、EU一般データ保護規則における戦略および運用の課題に取り組んでいる。ISACA London Chapterの元プレジデントであるミルトン氏は、様々な組織でガバナンスおよびIT関連の題目において講義および著作活動を行っており、またInstitute of Directors’ Policy Unitに対して定期的にビジネスコメントを提供し、メディアに対してもサイバー安全性の問題に関するコメントを発信している。


後注

1 ISACA, COBIT 5: Enabling Processes, USA, 2012