ADL、サイバー脅威に関するレポート 今後のポイントは組織内部の回復力強化

2019年9月26日

アーサー・ディ・リトルは、サイバー攻撃のリスクとそこからの回復力を考察したレポート「「From risk to resilience:Digital defense」をまとめ、今後のサイバー脅威に対しては外殻の強化よりも内部組織からの回復力を強化するC−Suiteに進むべきと示唆した。

 アジャイル、クラウド、IoT等で環境が複雑化し、フィッシング攻撃、DDoS、マルウェアなど新たな脅威が出現するなど、サイバー攻撃の脅威は年々進化し、2018年の1年間で組織の77%が攻撃を経験した。攻撃者は組織の脆弱性を悪用し、特に顧客データや金融取引といった情報資産を持っている企業がターゲットになる。

 サイバーリスクは脅威とシステム脆弱性、悪用可能性の掛け合わせであり、組織の脆弱性の悪用可能性を減らし、サイバー防御を改善すると、サイバー侵害の可能性は減少する。しかしシニアリーダーシップがサイバーリスクをビジネスリスクとして認識し始めたのはごく最近で、現状はサイバー攻撃に対する組織能力は不足している。サイバー攻撃の影響はデジタル領域を超え、組織の評判の失墜と経済的損失をもたらす。組織は、サイバーセキュリティへの過度の信頼とそれによる損失を過小評価している。

 これまでの防御はファイアウォールやウィルス対策ソフトなど境界を強化し、硬い貝殻に閉じこもる(ハードシェル)方向だったが、今後は組織内部から対策を進めてリスクからの回復力を強化する「C−Suite」のカルチャーに移行することが大切になる。関連するKRIとKPIを使って、デジタル防御を確認し、継続的に改善し。TCoRの強固な理解を深め、リスクへの露出を最適化するためのターゲットを絞った取り組みをサポートし、レジリエンス主導のサイバーリスクへのアプローチを採用することで、組織は資産保護を強化し、ビジネス上の損失を減らすことができるようになるとしている。