オペレーション、従業員、パートナー、顧客、ユーザーなど、その出所は問わず、あらゆるデータのデータマネジメントとデータセキュリティについて、David Mudd(BSIデジタルトラスト保証部門グローバル責任者)がアドバイスします。
データとプライバシーの現状
デジタル時代の組織は、重要な資源としてデータに依存しています。データの可用性は生産性とコミュニケーションを向上させる一方で、ガバナンス、サイバーセキュリティ、デジタルトラストに関わる課題が浮上しました。
データ保存、アクセスセキュリティ、マネジメントプロセスに対する指揮権の維持は必須です。これは、オペレーションの効率のためだけの話ではありません。特にGDPRのようなプライバシー規制のもとで、セキュリティ侵害が深刻な財務および評判への影響を引き起こす可能性があるからです。
サイバー犯罪による損失、サプライチェーン攻撃、脆弱性の拡大、ランサムウェアのリスク、社内の人的要因など、複数のトレンドがデータセキュリティに影響を与えます。
財務への影響
Cybersecurity Venturesのデータによると、2023年のサイバー犯罪による損失は8兆ドルに達すると予想されます。2021年の英国政府の統計によると、この1年間に英国企業の39%がサイバーセキュリティ侵害を訴え、うち27%は毎週のように侵害が発生しているとしています。1回の侵害の平均損害額は約£8,500ポンドと推算されることから、こうした侵害の頻発による経済的影響は莫大な金額になると考えられます。
さらに、IBMによると、サイバーセキュリティプランニングが「十分である」と回答した企業はわずか21%でした。組織の準備不足が、予想される損害拡大の一因と思われます。
それでは、このギャップを埋めてデータを保護するためにはどうすればよいのでしょうか。
データマネジメントとデータセキュリティのベストプラクティス
万能のソリューションは存在しませんが、中小企業から世界的大企業まで、あらゆる規模の組織に役立つベストプラクティスの模範的事例は存在します。
ここで、組織のデータマネジメント能力とデータ保護能力への信頼を築くための3原則を紹介します。
1.最終目標を念頭に置いてスタートする
組織は、サイバーセキュリティに関するリスクを最小限に抑えながら、その利点を活用することにより、ダイナミックなデジタル世界で成功することができます。そのためには、人、プロセス、テクノロジーを一体化した集中型ソリューションを備える有効な情報セキュリティ管理システムが不可欠です。
このシステムは1日目から次の条件を満たさなければなりません。
- ビジネスレベルでリスクと機会を評価する。
- データマネジメントとデータ保護という目的に焦点を絞る。
- リスクを軽減するためにベストプラクティスによるコントロールを実施する。
- アクションの責任とスケジュールを明確にする。
- 変化するリスクとビジネスプラクティスを考慮しながら、モニタリングと改善を継続的に行う。
組織は、効果的なシステムを設計、導入、維持するための要求事項を理解することにより、信頼を築き、利益を最大化し、効果的なデータマネジメントとデータ保護への道を迷わず歩み始めることができます。
2.保護を超えた思考
サイバーセキュリティのリスクから組織をセーフガードすることは必須です。しかし、確固たる意志を持つ熟練者が時間をかければ、防御は突破できてしまう可能性があります。
組織を防御し、個人データを保護することと並んで、脅威の検知、疑わしい活動の特定、サイバーセキュリティインシデントの効率的な対応と復旧を重視することが、レジリエンスを構築するための鍵となります。
NISTの「サイバーセキュリティフレームワーク(CSF)」は、これらの重要なテーマに焦点を当て、ビジネスリスクに準じたサイバーセキュリティ体制の導入に向けて組織を導きます。
NISTのCSFは認証可能なスキームとして設計されていませんが、 ISO/IEC 27001のような認証可能なフレームワークの中で取り入れることができるため、データを保護し信頼を構築するためのベストプラクティスアプローチを組み合わせることが可能です。
3.リスクに基づくアプローチを採用する
サイバーセキュリティの初心者にとって、効果的なリスクマネジメントと同時にサイバーリスクの問題点や意味を理解することは大変な作業のように思えるかもしれません。実行すべきアクションの優先順位のつけ方リスクマネジメントプロセスを支援するために、サイバーセキュリティリスクに特化したベストプラクティスガイドや規格が存在します。
グローバルなリスクマネジメントの概念とベストプラクティスを取り入れた「情報セキュリティリスクの管理に関する手引」(ISO/IEC 27005)は、組織がリスク評価と処置を実施する際に役立ちます。
米国国立標準技術研究所(NIST)は サイバーセキュリティフレームワーク(CSF)を作成しました。サイバーリスクの管理に関する指針も示されています。
ISO/IEC 27001(情報セキュリティマネジメントに関する国際規格)は、サイバーセキュリティとプライバシー保護に対応するように設計されています。グローバルなコンセンサスのベストプラクティスをISOのマネジメントシステムアプローチと整合させ、信頼構築の基盤を提供しています。
ISO/IEC 27001は非常に柔軟であるため、他の関連するセキュリティマネジメントおよびフレームワークとの統合が可能です。
付属するISO/IEC 27002には、リスク別に優先順位をつけることができる、実践的導入のための参照管理と詳細な指針が掲載されています。組織は、要求事項を基本としたこのグローバル規格に基づく認定を目指すことができます。データマネジメントとデータ保護のケイパビリティに対する信頼をさらに高めてください。
サイバーレジリエンスの構築
サイバー攻撃や侵害のリスクは無視できません。多額の金銭的損害やイメージダウンにつながる可能性があるからです。しかし、事前に行動を起こす姿勢をとることによって、組織は守りを固め、堅牢な戦略を確立することができます。
