優れたサイバー セキュリティ戦略は常に、企業がどのようなリスクを許容できるかを定義することから始める必要があります。これは、IT セキュリティ マネージャーが同僚を巻き込む必要があるタスクです。
しかし、最高情報セキュリティ責任者 (CISO) が、サイバー セキュリティ戦略を準備する際に、リスク削減の取り組みをサポートする投資と行動を明確に説明する方法を知っていることも不可欠です。 これは、2021 年に IBM からスピンアウトした IT サービス プロバイダーである Kyndryl のセキュリティと回復力のグローバル プラクティス リーダーである Kris Lovejoy 氏の推奨事項です。
「CISO が人材、プロセス、テクノロジーの面で投資によってもたらされる価値について不明確なために失敗するのを私は何度も見てきました。 明確な理解がなければ、経営陣は多くの場合、投資によって完全な保護が可能になることを期待します。 それが不可能であることは誰もが知っています」と彼女は言います。
これには、生成人工知能 (GenAI) の導入が含まれます。 Lovejoy にとって、GenAI は IT セキュリティ チームが今日の猛攻に対処する能力を向上させるツールですが、これを「信頼できるパートナー」として使用するには、まず適切な境界とガバナンスを確立する必要があります。
Computer Weekly とのインタビューで、ラブジョイ氏は、IT セキュリティを向上するには IT 環境の簡素化とレガシー インフラストラクチャの最新化が必要であると説明し、企業のサイバー レジリエンスの文化を達成するために従業員の意識を強化するトレーニングや演習に投資することの重要性を強調しています。
CIO および CISO に対する推奨事項の 1 つは、管理とセキュリティを向上させるために IT 環境の簡素化に取り組むことです。 しかし、どうやってこれを始めるのでしょうか? これを実現するためのさまざまなモデルはありますか? 最善の方法は何だと思いますか?
クリス・ラブジョイ: 「重要なサービスを優先する」という観点から簡素化に取り組むのが最も簡単です。 重要なビジネス チャンスをサポートするこれらのシステムを正確に理解していることを前提として、CIO と CISO はセキュリティ管理を分析し、コスト削減を制御自動化に移すことを目的として、ベンダーを統合してコストを削減する機会があるかどうかを判断することをお勧めします。
並行して、重要ではないシステムについては、そのシステムを使用から外すか、少なくともその運用をサポートするインフラストラクチャを根本的に簡素化するオプションを検討してください。 旅のどの段階にいるかに関係なく、成功はコラボレーションの文化と継続的な改善への献身にかかっていることに留意してください。 これらの要素がなければ、簡素化への取り組みは失敗します。
サイバーセキュリティの脅威とリスクは複数の側面から発生する可能性があり、それらは常に進化しています。 AI 対応ツールはそれらを適切に識別する準備ができていますか?
ラブジョイ: AI は、潜在的な脅威や脆弱性をより迅速かつ合理的な方法で特定し検出する組織の能力をますます強化しています。 セキュリティ チームには毎日大量のデータが流入しており、そのすべてを理解することが大きな課題となっています。
その結果、組織は機械学習と AI を使用して、自動化と分析技術を活用することで、より効果的な方法でノイズを選別するようになりました。 私たちは、生成 AI が AI と機械学習の次の進化であると考えています。 適切なガードレールが実装されれば、生成 AI が次のステップに進み、これらの脅威をより迅速に分析し、セキュリティ チームをより効果的にする能力をさらに強化できる可能性があります。
AI 増幅攻撃に対処できるように従業員を訓練するにはどうすればよいでしょうか?
ラブジョイ: サイバー レジリエンスの状況は年々複雑になってきています。 洗練された資金豊富な攻撃者、ランサムウェアやサービス妨害攻撃などの破壊的攻撃の成功率の増加、スキル不足、予算制限、脆弱なレガシーデバイスの増加、規範的なサイバー規制により、サイバーセキュリティの管理はこれまで以上に困難になっています。 。
組織は、これらの変化するダイナミクスを追跡し、ビジネスを保護するための強力な保護手段を導入するために適切な措置を講じることができますが、従業員は依然として最も弱い部分であり続けます。 生成 AI は、そのつながりを活用するために使用できる、ますます効果的なテクノロジーであることが証明されています。
リスクに対抗するには、リーダーは責任と透明性を重視する企業文化を育む必要があります。 これには、従業員がサイバー耐性のある環境の構築に積極的に貢献できるようにすることと、影響を恐れることなくセキュリティ問題を報告することの重要性を強調することが含まれます。
より戦術的に言えば、従業員がトレーニングの重要性を理解し、情報を確実に保持できるようにするために、サイバー セキュリティ トレーニング、机上演習、テスト、サイバー シミュレーションへの投資が極めて重要です。
生成型 AI の台頭により、多くの組織が適応することに熱心です。 AI プロジェクトへの取り組みを検討している組織は、これらの課題をどのように乗り越えればよいでしょうか?
ラブジョイ:組織は、倫理的かつ責任を持って自律テクノロジーを開発および使用する、未知の領域、そしてほとんど規制されていない領域に参入しています。 これらの戦略を念頭に置き、体系的かつリスクを意識した方法で実行することが重要です。
新たな AI 標準を参考にしてください。 データのソースと整合性に注意してください。 ユースケースから生成 AI の旅を始めましょう。GenAI をうまく使用するための最も効果的なアプローチの 1 つはカスタマー サポートです。
AI は非常に魅力的で善意を持っていますが、適切に指導および管理されなければ大混乱を引き起こす可能性もあります。 このため、AI がビジネスの信頼できるパートナーとして機能するには、最初から適切なガードレールとガバナンスを設定する必要があります。 そして、これらのガードレールがリスクの管理と持続的なイノベーションと成長の実現との間のバランスを適切にとることが重要です。
成功できるサイバーセキュリティ戦略を策定する際には何を考慮すべきでしょうか? CISO が取るべき最初のステップは何ですか? 適切な保護状態を実現するにはどうすればよいでしょうか?
ラブジョイ: サイバーセキュリティはリスク管理プロセスです。 これにより、組織は事業運営やデータに影響を与える可能性のあるサイバー攻撃を特定し、防御し、耐え、回復することができます。
優れたサイバー セキュリティ戦略は常に、ビジネス リスク許容度を定義することから始まります。つまり、企業はどの程度のリスクを引き受けるつもりですか? リスクなし、最小限のリスク、中程度のリスク、その他? そのためには、CISO が最初からビジネスに関与し、「良いもの」がどのようなものであるかについての共通理解を明確に定義する必要があります。
「毎日、セキュリティ チームに大量のデータが流入するため、そのすべてを理解することが大きな課題となっています。」
クリス・ラブジョイ、キンドリル
この理解により、CISO はリスク フレームワークに基づいて論理的な戦略を立てることが可能になり、どのような投資や活動がリスク削減の取り組みをサポートするのかを具体的に説明できるようになります。 次に、リスクと報酬のトレードオフが許容できるかどうかを経営者が判断することが問題になります。
「何が十分か」という共通の理解に基づいて戦略を作成することで、避けられない侵害が発生したときに CISO が「袋を抱えたまま」になることはありません。
CISO が戦略策定で失敗するもう 1 つの主な理由は、本質的に安全ではないものを安全にしようとすることです。 現在、ほとんどの組織は、決して安全に使用できないさまざまなレガシー資産を保有しています。 この状況では、CISO は、より回復力のあるビジネス運営をサポートするために、モダナイゼーションの主要な擁護者になる必要があります。
データ品質はセキュリティにどのように関係しますか?
ラブジョイ: 古い格言があります – 悪いデータが入ったら、悪いデータが出る。 AI への依存がますます高まる時代において、私たちはその言葉の絶対的な真実を認識する必要があります。出所と完全性が最低限確保されている信頼できるデータは、あらゆる形式の分析の基盤です。 これは、組織が重大なリスクにさらされている分野だと私は見ています。
AI アルゴリズムに関する倫理とセキュリティについて健全な議論が行われている一方で、私たちはアルゴリズムに供給するために使用するデータの出所と完全性を考慮していないことがよくあります。 データが操作されていないと信頼できるのか? と自問することが重要です。 AI アルゴリズムが一度トレーニングされると、問題のあるデータを表す特徴を削除して「トレーニングを解除」することはほぼ不可能であることに留意してください。
まるで子供を訓練しているかのように考えてください。 子供がテレビで見たものを「見えないようにする」ことができないのと同じように、AI に与えられたデータを見えないようにするのも簡単ではありません。
ビジネスの回復力はどのように達成されるのでしょうか? 企業はこの概念とそれに伴う内容をよく理解していると思いますか?
ラブジョイ: Kyndryl は、デジタル対応ビジネスの回復力を確保するという顧客のニーズに対応するために、独特のアプローチを採用しました。 私たちはこのアプローチをサイバー レジリエンスと呼ぶものに要約しました。 私たちはこれを、サイバー対応ビジネスに影響を与えるあらゆる悪条件、中断、侵害を予測し、防御し、耐え、回復する能力と定義しています。
私たちは、組織が従来のサイバー セキュリティの脅威に対する近視眼的な焦点を超えて、ランサムウェア攻撃、ハリケーン、洪水、停電、パンデミック、感染症などのサイバー対応ビジネスに対するさまざまな混乱を予測し、保護し、耐え、回復することを考慮する必要があると強く信じています。もっと。
これは、上で説明した広範な視点を考慮したサイバー リスク管理フレームワークの採用によって実現できます。
これは人間の行動に関する発言かもしれませんが、成熟した認識を持った組織が国に拠点を置いているか、規制されている部門で活動していることがわかりました。 規制がないと、組織はインシデントが発生した後にのみ投資する傾向があります。 サイバー規制の地図を見ると、重大な混乱や侵害に直面した場合に、どの組織が他の組織よりもうまくやっていくかを予測するのが簡単になります。