サイバー攻撃対策は費用効果が高い？なぜ企業は投資しないか？

ランサムウェア、BEC詐欺、データ侵害などのサイバー攻撃は、企業が今日直面している重要な問題の一部です。

しかし、多くの注目を集める事件にもかかわらず、多くの企業は、次の事態を回避するために必要なサイバーセキュリティ対策に投資するための予算をあてることに消極的です。

地政学的な懸念が世界中で高まる中、政治的動機のサイバー脅威アクターに対して組織を強化したい企業のCISOにどのような検討が必要なのでしょうか？

地政学的な緊張が高まり続ける中、政治的に動機付けられたサイバー脅威アクターに対する準備は煩わしいことですが、発生しないように準備するために必要なプロセスです。

サイバースペースで発生する紛争は、私たちが地上で目にする日常の紛争よりも微妙で蔓延しています。

悪意のある人物は、攻撃へのアプローチ、偽情報の拡散、知的財産の押収、およびコストの感覚を無視することにおいて、謝罪するどころか、とても積極的です。

これは、現代のCISOが取り組むべき重要な課題の一つです。

ただし、CISOは、脅威アクターが実行しようとしている戦術、手法、および手順を十分に認識しています。

MITER攻撃フレームワークリストには、これらの12の主要なTTPの敵対行動がリストされています。

それで、問題は、なぜこれがまだ起こっているのかということです。

デジタル脅威の状況では、侵害を想定する必要があります。

それは、攻撃するかどうかの問題ではなく、敵がいつ攻撃するかという問題です。

このフレームワークを導入するだけでは不十分です。

これらのコントロールを継続的にテストおよび検証して、セキュリティコントロールに対して最適な評価と敵のエミュレーションを大規模に展開し、可視性を高める必要があります。

これにより、現代のCISOはパフォーマンスデータを継続的に表示し、セキュリティプログラムが脅威の状況に対してどの程度効果的であるかを追跡できるようになります。

では、CISOは、データ侵害のコストを会社の取締役会に効果的に説明するにはどうすればよいでしょうか？

侵害に対する平均コストは3.86〜392万ドルと報告されており、ヘルスケアや金融/銀行などの規制対象の業界では、その金額ははるかに高くなり、より悲惨な結果を招く可能性があります。

侵害のコストを説明することは、侵害自体に大きく依存します。

たとえば、消費者のデータが危険にさらされている場合、ビジネスの損失が最も重要な要因であり、データ侵害の平均総コストのほぼ40％を占めています。

これには、多くの要因、顧客の離職、収益の損失、評判の低下を軽減するための新規事業の買収費用が含まれます。

推定される州が後援する侵害は、平均で440万ドル以上の費用がかかり、CISOが救済するのが最も困難なデータ侵害となっています。

組織がインシデントを検出して封じ込めるのにかかる時間などの他の要因は、全体的な損害に悪影響を与える可能性があります。

答えは明確ではありませんが、侵害の前に実装されたセキュリティ対策により、深刻でコストのかかるシナリオを軽減できます。

CISOは現在の脅威の状況を認識する必要があり、COVID後の世界では、リモートワークが新たな脆弱性となりました。

組織は、ハードウェア、ソフトウェア、および人に数百万ドルを投資することができますが、それでも侵害される可能性があります。

予算担当者にセキュリティROIを説明する秘訣は何でしょうか？

投資の成功を測定するには、まず、保護しようとしているもののコストを定量化する必要があります。

簡略化されたモデルでは、最初のステップは保護の特定の利点を測定することです。

これは資産の評価から始まります。

このデータは私にとってどれほど価値があるのでしょうか？

予算担当者は、そのデータが保護されないリスクを冒す必要があります。

予防的なサイバーセキュリティツールに投資してリスクを軽減するために必要な対策を講じなかった場合、侵害が発生した場合、これにはどのくらいの費用がかかる可能性がるかを考える必要があります。

より多くのツールにお金をかけるよりも、組織の統制を検証する方が費用効果が高くなります。

CISOは、サイバー脅威に対抗するための特殊なフレームワークを採用することで、たとえば、脅威に基づいた防御を実行し、違反攻撃シミュレーション（BAS）などの自動化されたプラットフォームを利用することで、システムを継続的にテストおよび検証できます。

ファイアドリルと同様に、BASはどのコントロールが失敗しているかを特定できるため、組織は防御のギャップを修正して、攻撃が発生する前にサイバー対応を行うことができます。

誰もが侵害される可能性があるため、CISOは、予算の多くを新しいテクノロジーではなくサイバーセキュリティ保険に割り当てる必要があるかどうか疑問に思っています。

彼らは正しい選択をしていると思いますか？

適切な投資をせずにサイバー保険に過度に依存すると、追加のコストが発生し、組織がリスクや脆弱性にさらされる可能性が高くなります。

保険会社はいくらかのコストを相殺することができますが、セキュリティインシデントの後で会社の評判の低下を修復できないことがよくあります。

同様に、企業が研究開発（R＆D）に数百万ドルを費やし、IPが盗まれた場合、その投資のコストを回収できるプレミアムはありません。

CISOの最善のアプローチは、プロアクティブなセキュリティ戦略を追求し、それをサイバー保険、たとえば違反や攻撃シミュレーション（BAS）システムなどのサイバーセキュリティツールとバランスを取ることです。

効果的なセキュリティ戦略は、サイバー脅威の前に組織を保護し、欠陥を特定するだけでなく、サイバー保険を取得するためにも、これらのシステムを導入することは、サイバー保険のコストを削減するために不可欠です。

サイバー保険を適切にカバーすることは重要であり、CISOは保険契約の起草方法に細心の注意を払う必要があります。

詳細への注意が不足していると、組織が適切なカバーを持たなくなる可能性があり、特に現在の脅威環境の変成的な性質により、CISOはサイバーセキュリティカバーを購入する前に特定のサイバー対策を講じる必要があります。

セキュリティトレーニングは、こちら

セキュリティコンサルティングは、こちら