インド データセキュリティ評議会 (DSCI) サイバーレジリエンスなビジネス環境
こんにちは、丸山満彦です。
インドのデーエタセキュリティ評議会 (Data Security Council of India: DSCI) [wikipedia] がDell Technologiesと一緒にサイバーレジリエンスなビジネス環境という報告書を公表していますね。。。
サイバーレジリエンスは、これから絶対に重要となる概念だと思っています。。。例えば、サイバー攻撃によりダメージをうけても迅速に回復する能力ということです。。。
サイバー攻撃が事業継続に影響を及ぼすのは昨今のランサムウェアの事例等をみても明らかです(巨大地震ほどの影響の大きさではないですが、怒る可能性は巨大地震よりも高いように思います...)。
フィジカル空間とサイバー空間が高度に融合しているのSociety 5.0時代では当然のことというのは、みなさまも反対はないと思います。(業務により程度差はあるでしょうけど...)
ということで、読んでみようかと思いました。。。
● Data Security Council of India: DSCI
・2022.03.09 Cyber Resilient Business Environment
| Cyber Resilient Business Environment | サイバーレジリエントなビジネス環境 |
| The growing sophistication, frequency, and severity of cyber-attacks targeting organizations highlights the inevitability and impossibility of completely protecting the integrity of critical computing systems. Additionally, the COVID induced changing nature of businesses and digital transformation have added to the complexity of threats. | 組織を標的としたサイバー攻撃の高度化、頻発、深刻化は、重要なコンピューティングシステムの整合性を完全に保護することの不可避性、不可能性を浮き彫りにしています。さらに、COVIDによるビジネスの性質の変化とデジタルトランスフォーメーションが脅威の複雑性を高めています。 |
| Cyber security and business continuity are now board level discussions and considered as the biggest business risk. In this context, cyber-resilience offers an alternative to the existing cyber security paradigm. Resilience remains a strategic imperative, growing in importance as businesses see challenges from uncertain events, and highly targeted cyber-attacks. | サイバーセキュリティと事業継続は、今や取締役会レベルの議論となり、最大のビジネスリスクとして考えられています。このような背景から、サイバーレジリエンスは、既存のサイバーセキュリティのパラダイムに代わる選択肢を提供します。不確実な事象や高度な標的型サイバー攻撃による課題を企業が認識する中、レジリエンスは依然として戦略的必須事項であり、その重要性はますます高まっています。 |
| This joint Point-of-View (POV) paper developed by DSCI & Dell Technologies attempts to provide insights on examining gaps in existing security programs and cyber resilience plans, which shall sustain in years to come. | DSCI と Dell Technologies が共同開発した本書は、既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証し、今後数年間に渡って持続するための洞察を提供しようとするものである。 |
この文書では、「既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証」ということですが、個人的は既存のレジリエンス計画(あるいは事業継続計画)がサイバーレジリエンスなのか?というギャップも検証するとよいようにも思います。。。
・[PDF]
目次。。。
| Introduction | はじめに |
| The Current Situation | 現在の状況 |
| Gap Analysis of Existing Security Programs & Cyber Resilience Plan | 既存のセキュリティプログラムのギャップ分析およびサイバーレジリエンス計画 |
| Future Cyber Resilience in the context of uncertainty and growing sophisticated cyber-attacks | 不確実性と巧妙化するサイバー攻撃の中で、今後のサイバーレジリエンスを考える |
| Key Characteristics of ideal data recovery | 理想的なデータ復旧の主な特徴 |
| Recommendations and Best Practices | 提言とベストプラクティス |
イントロダクション(はじめに)
| Introduction | はじめに |
| • The growing sophistication, frequency, and severity of cyber-attacks targeting organizations highlights the inevitability and the impossibility of completely protecting the integrity of critical computing systems. | ・組織を標的としたサイバー攻撃の巧妙化,頻発,深刻化は,重要なコンピューティングシステムの整合性を完全に保護することの不可避性と不可能性を浮き彫りにしています。 |
| • The changing nature of businesses and digital transformation have introduced the additional complexity of threats. | ・ビジネスの性質の変化とデジタルトランスフォーメーションにより,脅威はさらに複雑さを増しています。 |
| • The difficult time of COVID-19, and other similar uncertain events have introduced an entirely new working culture. Traditional IT infrastructure, network architecture, data/ application access and cyber security operations have become outdated. | ・COVID-19の困難な時期や、その他同様の不確実な出来事は、全く新しい労働文化を導入しました。従来のITインフラ、ネットワークアーキテクチャ、データ/アプリケーションアクセス、サイバーセキュリティの運用は時代遅れになっている。 |
| • The big data breaches and cyber-attacks on IT and software supply chain across globe are good learnings for other organizations. Cyber security and business continuity are now board level discussions and considered as the biggest business risk. | ・世界中のITやソフトウェアのサプライチェーンにおけるビッグデータの漏洩やサイバー攻撃は,他の組織にとっても良い学習となる。サイバーセキュリティと事業継続は,今や取締役会レベルの議論となり,最大のビジネスリスクとみなされています。 |
| • Security program in several organizations lack a long-term vision and are incapable of handling unforeseen crises | ・いくつかの組織では,セキュリティプログラムに長期的なビジョンが欠けており,不測の事態に対応することができない。 |
| Current State | 現在の状況 |
| ・Growing sophistication and targeted cyber attacks | ・巧妙化するサイバー攻撃と標的型攻撃 |
| ・Changing nature of Businesses and Digital Transformation | ・ビジネスの変化とデジタルトランスフォーメーション |
| ・Uncertain Events and Calamities | ・不測の事態・災難 |
| ・Business disruption due to complex supply chain attacks | ・複雑なサプライチェーンへの攻撃によるビジネスの混乱 |
| ・Flaws in Security Programs to handle unforeseen events | ・不測の事態に対応するためのセキュリティプログラムの不備 |
| Gap Analysis of Existing Security Programs & Cyber Resilience Plan | 既存のセキュリティプログラムとサイバーレジリエンスプランのギャップ分析 |
| 01 Security function and Disaster recovery functions don’t work well together | 01 セキュリティ機能と災害復旧機能の連携がうまくいっていない |
| 02 Lack of understanding of risk to critical operations from targeted attacks | 02 標的型攻撃による重要業務へのリスクに対する理解不足 |
| 03 No clear accountability and Ownership within organization for BC and DR | 03 BCとDRに関する組織内の明確な説明責任とオーナシップがない |
| 04 Little budget on Technology & Controls for BC, DR & Future Planning | 04 BC、DR、将来計画のためのテクノロジーとコントロールに関する予算が少ない |
| 05 Reactive Security Strategy and Operations | 05 対応的なセキュリティ戦略・運用 |
| 06 Systems are not designed for resilience | 06 システムの設計が耐障害性に配慮されていない |
| 07 Security processes are poorly implemented. | 07 セキュリティプロセスの導入が不十分である。 |
| 08 No strategy on fail safe approach , minimum impact and future planning | 08 フェイルセーフアプローチ、最小限の影響、将来計画に関する戦略なし |
| Component of Future Cyber Resilience Model | 将来のサイバーレジリエンスモデルを構成する要素 |
| 01 Prepare | 01 準備 |
| ・Knowing organization well: Critical/ High Value assets, operations, and data source | ・組織をよく知ること 重要/高価値の資産、業務、データソース |
| ・Develop/ procure resilient systems by design, and robust back up systems/ plans | ・レジリエントなシステムの設計、堅牢なバックアップシステム・プランの開発・調達 |
| ・Bind Security and Disaster recovery Functions well, and Plan for future | ・セキュリティとディザスターリカバリーの機能をうまく組み合わせ、将来計画を立てる。 |
| 02 Detection | 02 検知 |
| ・Invest in active threat hunting and detection of unknown Patterns | ・積極的な脅威の探索と未知のパターンの検知に投資する |
| ・Share information and intelligence ( Strategic, tactical and technical ) feeds to speed up detection. | ・情報およびインテリジェンス(戦略的、戦術的、技術的)フィードを共有し、検出を高速化する。 |
| ・Automate and active threat monitoring process | ・自動化されたアクティブな脅威監視プロセス |
| 03 Response | 03 対応 |
| ・Robust Incident Response Matrix – Technical & Business | ・堅牢なインシデント対応マトリクス - 技術とビジネス |
| ・Strategic, Tactical and Technical Cyber Response Drill | ・戦略的、戦術的、技術的なサイバー対応ドリル |
| 04 Recovery | 04 復旧 |
| ・Data, Assets, and Network Recovery Plan | ・データ、資産、ネットワークの復旧計画 |
| ・Tools/Technology and Strategy to restore critical Operations despite of cyber attack | ・サイバー攻撃を受けても重要業務を復旧させるためのツール・技術・戦略 |
| ・Self assessment and Continuous learnings | ・自己評価と継続的な学習 |
| In this context, cyber-resilience offers an alternative to the existing cyber security paradigm. However, the pandemic and other uncertain events have brought to the forefront numerous risk considerations for organization across all industries. These events have also called into question whether the existing cyber Resilience plans/ strategies are adequate. | このような背景から、サイバーレジリエンスは、既存のサイバーセキュリティのパラダイムに代わる選択肢を提供するものです。しかし、パンデミックやその他の不確実な事象は、あらゆる業界の組織にとって多くのリスクを考慮する必要があることを前面に押し出している。また、これらの事象は、既存のサイバーレジリエンス計画/戦略が適切であるかどうかを疑問視している。 |
| In a nutshell, resilience remains a strategic imperative, growing in importance as a business sees challenges from uncertain events, and highly targeted cyber-attacks. However, the need of the hour is examining gaps in existing security programs and cyber resilience plans, which shall sustain in years to come. | 一言で言えば、レジリエンスは依然として戦略的な必須事項であり、企業が不確実な事象や高度に標的化されたサイバー攻撃による課題に直面するにつれて、その重要性は増している。しかし、今必要なのは、既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証し、今後数年間に渡って持続できるようにすることなのです。 |
Comments