世界経済フォーラム (WEF) サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために
こんにちは、丸山満彦です。
世界経済フォーラム (WEF) が「 サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために」を公表しています。
攻撃者側は、その目的(国家の目的、金銭目的)達成のために、団結してきているわけですがから、防御側も業界、官民等で連携することは重要だですよね。。。
サイバーセキュリティ分野で情報共有の重要性は過去からも言われているし、米国のバイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」でも強調されているポイントですが、なかなか難しいとも言われています。
この報告書では、サイバーセキュリティが経営リスクの一つとして管理すべき課題であり、そのためにCxOが協力して解決していく課題でもあることから、CEOがサイバー情報共有についてコミットすることが重要と書かれています。その通りだと思いますね。。。
・2022.12.12 The Business Imperative of Cyber Information Sharing for Our Collective Defence
The Business Imperative of Cyber Information Sharing for Our Collective Defence | サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために |
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. | 今日のビジネスが成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。この論文では、リスクを管理し、攻撃者と防御者のギャップを埋めるための3つの重要なステップを紹介している。それは、情報共有を経営幹部の特権とすること、コンプライアンスと規制に関する懸念を管理すること、そして「共有」を実用的なレベルで定義することである。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の優位性となる。 |
Businesses today must successfully manage their cyber risk to thrive. Effective risk management requires cyberthreat information sharing. This paper outlines three key steps to manage the risk and close the attacker–defender gap: making information sharing a C-suite prerogative; managing compliance and regulatory concerns; and defining “sharing” on a practical level. Businesses that adopt this paper’s framework, productively sharing information at the organizational level and embracing a collective defence posture, will be well on their way to managing their cyber risk effectively. Indeed, by making information sharing a part of leadership priorities, by understanding and responding to compliance and regulatory concerns, and by more clearly defining what sharing means, achieving an information-led approach to cybersecurity becomes an achievable and necessary business advantage. | 今日の企業が成功するためには、サイバーリスクをうまく管理する必要がある。効果的なリスクマネジメントのためには、サイバー脅威の情報共有が必要である。本稿では、リスクを管理し、攻撃者と防御者のギャップを解消するための3つの重要なステップを紹介する。この論文のフレームワークを採用し、組織レベルでの生産的な情報共有と集団的な防衛態勢を採用する企業は、サイバーリスクを効果的にマネジメントするための道を歩むことになる。実際、情報共有をリーダーシップの優先事項の一つとし、コンプライアンスや規制の懸念を理解して対応し、共有の意味をより明確に定義することで、サイバーセキュリティに対する情報主導のアプローチを実現することは、達成可能かつ必要なビジネス上の利点となるのである。 |
・[PDF]
目次...
Foreword | まえがき |
Executive summary | エグゼクティブサマリー |
Introduction | 序文 |
1 Making information sharing a C-suite prerogative | 1 情報共有はC-suiteの特権 |
2 Managing compliance and regulatory concerns | 2 コンプライアンスと規制に関する懸念の管理 |
3 Defining “sharing” on a practical level | 3 「共有」の実務的な定義 |
Conclusion | まとめ |
Contributors | 協力者 |
エグゼクティブサマリー
Executive summary | エグゼクティブサマリー |
True information sharing is foundational to closing the gap between attackers and defenders, so it is imperative to make it a reality. | 真の情報共有は、攻撃者と防御者の間のギャップを埋めるための基盤であり、それを実現することが不可欠である。 |
To ensure the right level of cybersecurity, cooperation between the public and private sectors is absolutely crucial. Information Sharing and Analysis Centres create a platform for such cooperation in terms of sharing information about root causes, incidents and threats, as well as sharing experience, knowledge and analysis. | 適切なレベルのサイバーセキュリティを確保するためには、官民の協力が絶対に欠かせない。情報共有・分析センターは、根本原因、インシデント、脅威に関する情報の共有、経験、知識、分析の共有という点で、そうした協力のためのプラットフォームを構築している。 |
European Union Agency for Cybersecurity | 欧州連合サイバーセキュリティ機関 |
This paper provides a brief discussion of three key steps towards closing the attacker-defender gap: | 本論文では、攻撃者と防御者のギャップを解消するための3つの重要なステップについて簡単に説明する。 |
1. Making information sharing a C-suite prerogative | 1. 情報共有はC-suiteの特権であること |
2. Managing compliance and regulatory concerns | 2. コンプライアンスと規制に関する懸念の管理 |
3. Defining “sharing” on a practical level | 3. 現実的なレベルでの「共有」の定義 |
These three steps must be implemented in concert to achieve truly productive information sharing, but it is a worthwhile endeavour given the alarming acceleration of attacks, and the relative stagnation of the progress of defenders by comparison. In addition, this paper provides the following understandings as the foundation upon which the case for information sharing rests: | 真に生産的な情報共有を実現するためには、これら3つのステップを連動させる必要があるが、攻撃の加速と、それに比べて防御側の進歩が相対的に停滞していることを考えると、これは価値のある取り組みと言える。また、本稿では、情報共有の基盤として、以下のような認識を示す。 |
・Cyberthreats today have escalated to the point where they can pose an existential risk to a company, disrupt national/global critical infrastructure and cause the loss of life. | ・今日のサイバー脅威は、企業の存亡に関わるリスクや、国家・世界の重要インフラを破壊し、人命の損失をもたらすまでにエスカレートしている。 |
・For enterprises to have any chance of successfully defending themselves, they must accept and adopt a philosophy of collective defence. Cyber information sharing is at the core of any collective defence strategy. | ・企業が自己防衛を成功させるためには、集団防衛の理念を受け入れ、採用する必要がある。サイバー情報の共有は、集団防衛戦略の中核をなすものである。 |
・Information sharing is not new, and it is demonstrably not a competitive issue. | ・情報共有は新しいものではなく、また競争的な問題でもない。 |
・Legal processes and emerging technical solutions exist for real and perceived regulatory and privacy challenges. | ・規制やプライバシーの問題については、法的な手続きや新たな技術的な解決策が存在する。 |
・Achieving true cyber information sharing is a business prerogative and, as with any business priority, success requires the active support and engagement of C-suite executives. | ・真のサイバー情報共有の実現はビジネスの特権であり、ビジネスの優先順位と同様に、成功にはC-suiteエグゼクティブの積極的な支援と関与が必要である。 |
1 情報共有はC-suiteの特権
Making information sharing a C-suite prerogative | 情報共有はC-suiteの特権 |
Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. | サイバーセキュリティは、技術的な問題だけでは対応できず、重要なビジネスリスクとして管理する必要がある。 |
At the 2015 Financial Services Roundtable featuring the largest integrated financial services companies in the United States, bank CEOs discussed systemic risks to their firms and the industry. They agreed that the impact that cyber incidents could have on operational resiliency was a top risk. The potential of a cyberattack to disrupt critical operations, putting the banks, their customers and the global financial system at risk, was material and growing. The CEOs acknowledged three key facts: | 米国最大の総合金融サービス企業が参加した2015年の金融サービス・ラウンドテーブルでは、銀行のCEOが自社と業界に対するシステミック・リスクについて議論した。彼らは、サイバーインシデントがオペレーショナルレジリエンスに与えうる影響が最大のリスクであることに同意した。サイバー攻撃によって重要な業務が中断され、銀行やその顧客、世界の金融システムが危険にさらされる可能性は重大であり、その危険性は増大している。CEOたちは、3つの重要な事実を認識した。 |
1. The adversary was getting more sophisticated and was highly collaborative. | 1. 敵はより巧妙になり、高度に連携している。 |
2. Despite the significant investments being made, the banks were falling farther behind. | 2. 莫大な投資を行っているにもかかわらず、銀行はより大きな遅れをとっている。 |
3. That meant the status quo was not acceptable. | 3. つまり、現状維持は許されない。 |
A higher level of collaboration and collective defence among the banks was required, as was real engagement with government and other critical sectors to protect their firms and the global financial system. | 銀行と世界の金融システムを守るために、政府および他の重要なセクターとの真の関与と同様に、銀行間のより高いレベルの協力と集団的な防御が必要だったのである。 |
The CEOs did not just talk about the issue; they personally engaged with government officials and put their money and staff behind a remedy, collectively funding the creation of the US Financial Systemic Analysis & Resilience Center (FSARC), now the Analysis & Resilience Center (ARC). | CEOたちは、この問題について話すだけでなく、自ら政府関係者と関わり、資金と人員を救済策に投入し、米国金融システム分析・回復力センター(FSARC)、現在の分析・回復力センター(ARC)の設立に共同で資金を提供した。 |
The world has seen a significant rise in sophisticated cyber incidents over the past few years, ranging from the SolarWinds and Colonial Pipeline attacks to uncountable ransomware incidents. While aspects of the events are not new (disclosure of data, theft of money), their scale and escalation have heightened the focus on cybersecurity and operational resiliency by corporate leaders in every sector of the economy, members of the media and government officials. | SolarWindsやColonial Pipelineの攻撃から数え切れないほどのランサムウェア事件に至るまで、ここ数年、世界では巧妙なサイバー事件が著しく増加している。これらの事件は、データの漏洩や金銭の盗難など目新しいものではないが、その規模や深刻化により、経済のあらゆる部門の企業リーダー、メディア、政府関係者が、サイバーセキュリティと業務上のレジリエンスへの関心を高めている。 |
The silver lining to the increased cyberthreat is a growing understanding that a bad cyber day can pose an existential threat to a company. Cybersecurity cannot be addressed solely as a technical issue and must be managed as a material business risk. This realization has amplified the focus of management teams and boards of directors. This combination of increased focus and collective vulnerability offers an opportunity for CISOs to engage their C-suites to seek their active support to enhance collaboration, better defend and protect organizations against these threats, and improve the security and resiliency of the collective ecosystem. | サイバー脅威の増大に伴う明るい兆しは、サイバーデイの悪化が企業の存続を脅かす可能性があることを理解するようになったことである。サイバーセキュリティは、技術的な問題としてのみ対処することはできず、重要なビジネスリスクとしてマネジメントする必要がある。この認識により、経営陣と取締役会の焦点はさらに高まっている。このような注目度の高まりと集団的脆弱性の組み合わせは、CISOが経営陣を巻き込んで積極的な支援を求め、協力体制を強化し、これらの脅威から組織をよりよく守り、集団的エコシステムのセキュリティとレジリエンスを向上させる好機となる。 |
One specific action a CISO can take to better engage with senior executives is to schedule a cyberthreat information briefing for their C-suite executives and board of directors with their relevant law enforcement/governmental agency. President Biden’s 12 May 2021 Executive Order on Improving the Nation’s Cybersecurity starts with the need for better cyber information sharing. | CISOが上級管理職との関係を深めるためにできる具体的な行動の1つは、関連する法執行機関/政府機関とCスイート幹部および取締役会のためのサイバー脅威情報のブリーフィングを予定することである。バイデン大統領が2021年5月12日に発表した「国家のサイバーセキュリティの改善に関する大統領令」は、サイバー情報の共有をより良くする必要性から始まっている。 |
The European Union Agency for Cybersecurity (ENISA) states on its website that “European legislation like the NIS Directive and the Cybersecurity Act nourish the creation of sectoral ISACs and public-private partnerships within the EU”. The EU’s Digital Operational Resilience Act also proposes to specifically develop information and intelligence sharing protocols. | 欧州連合サイバーセキュリティ機関(ENISA)は、そのウェブサイトで「NIS指令やサイバーセキュリティ法などの欧州の法律は、EU内の分野別ISACや官民パートナーシップの構築を養っている」と述べている。また、EUのデジタル運用レジリエンス法では、情報および情報共有プロトコルを具体的に整備することが提案されている。 |
The private sector should drive engagement in information collaboration. This can seem unnatural in competition-driven businesses, but history has demonstrated that cybersecurity is neither a competitive nor an anticompetitive issue. Mutual success requires a willingness to work together. An active interest in collaborating operationally is necessary to share observations, lessons learned, best practices and intelligence in order to protect the enterprise, its clients and the ecosystem. | 民間部門は、情報連携への関与を促進する必要がある。これは、競争主導のビジネスでは不自然に思えるかもしれないが、サイバーセキュリティは競争でも反競争でもないことは歴史が証明している。相互の成功には、協力する意志が必要である。企業、その顧客、エコシステムを保護するために、観察、教訓、ベストプラクティス、インテリジェンスを共有するためには、運用面での協力に積極的に関心を持つことが必要である。 |
As a result, when company leaders make sharing a real priority, it has a chance to succeed. In contrast, information sharing efforts often wither without sustained support from the top. Effective sharing requires continuous support; the CEO and other senior company officials must make cyberthreat information sharing an ongoing priority for it to be impactful and sustainable. | その結果、企業のトップが情報共有の重要性を認識すれば、情報共有は成功する可能性がある。一方、情報共有の取り組みは、トップからの継続的なサポートがなければ、しばしば衰退してしまう。効果的な情報共有には継続的な支援が必要である。CEOをはじめとする企業の上級幹部は、サイバー脅威の情報共有を継続的な優先事項とすることで、インパクトのある持続的な情報共有を実現することができるのである。 |
The challenges associated with cyberattacks and the financial fraud stemming from such incidents are bigger than any one institution, and this is something the financial sector must face together. We are stronger and more resilient when we work collectively to understand the evolving tactics of cyber adversaries and to deepen the layers of defence against such attacks. Bill Nelson, President and Chief Executive Officer (2006-2018), FS-ISAC | サイバー攻撃とそれに起因する金融詐欺に関連する課題は、どの金融機関よりも大きく、金融セクターが一丸となって立ち向かわなければならない。私たちは、サイバー攻撃者の進化する戦術を理解し、そのような攻撃に対する防御の層を厚くするために協力し合うことで、より強く、よりレジリエンスに富んだ存在となるのである。ビル・ネルソン FS-ISAC社長兼最高経営責任者(2006年~2018年 |
A platform of trust and communication to facilitate information sharing among sectors and businesses is necessary to share actionable insights with other stakeholders for situational awareness, and to detect and respond to cyberthreats promptly. Cyber Security Agency of Singapore | 状況認識のために他のステークホルダーと実用的な洞察を共有し、サイバー脅威を迅速に検知して対応するためには、セクターや企業間の情報共有を促進する信頼とコミュニケーションのプラットフォームが必要である。シンガポールサイバーセキュリティ庁 |
« 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12) | Main | PCAOB 中国の監査法人の検査が実質的に終了したようですね。。。(2022.12.15) »
Comments