サイバーセキュリティはもはや単なるIT部門の問題ではなく、企業の存続に関わる問題だ。サプライチェーンを麻痺させるランサムウェア攻撃から、重要インフラを標的とする国家が関与する高度な攻撃に至るまで、今日企業が直面する脅威は広範囲にわたり、甚大な被害をもたらし、絶えず進化している。
私は長年にわたり、出版記事や講演、顧問業務を通じて、サイバーセキュリティは人材、プロセス、テクノロジーにまたがる戦略的な必須事項として取り組まなければならないと強調してきた。その点を踏まえ、経営層、取締役会、そして実務担当者が今後の課題を乗り越えるための指針となる、10の簡潔な原則をまとめた「企業向けサイバーセキュリティ虎の巻」をここに紹介する。
1. サイバーセキュリティはリーダーシップの責任
・サイバーリスクは取締役会の議題だ
・経営陣は、サイバーセキュリティが企業の評判、信頼、競争力に直結することを理解しなければならない
・セキュリティプログラムのために、明確な予算、リソース、責任を割り当てること
2. ゼロトラストの考え方を採用する
・ネットワークの内外を問わず、検証されるまでは誰も信用しない
・継続的な認証、アクセス制御、マイクロセグメンテーションを導入する
・ゼロトラストの適用範囲をサプライチェーン、クラウドサービス、運用技術にまで拡大する
3. サイバー規律を徹底する
・パッチ管理、ID管理、エンドポイントセキュリティは、交渉の余地のない必須事項
・多要素認証(MFA)は義務化されるべきだ
・定期的なバックアップ、検証済みの復旧プロセス、そして暗号化が、ランサムウェアやデータ侵害から企業を守る
4. AI駆動型の脅威に備える
・攻撃者はディープフェイク、スピアフィッシング、マルウェアの自動化にAIを利用している
・企業は脅威検知、異常監視、予測防御のためにAIを活用したツールを導入すべきだ
・AIの誤用を避け、リスクを管理するために、AIガバナンスを組織に組み込むこと
5. 量子コンピューティングによる破壊的変化に備える
・量子コンピューティングは、現在の暗号技術を破る可能性を秘めている
・今すぐ暗号資産の棚卸しを開始し、ポスト量子暗号(PQC)への移行を計画すること
・早期に対応した企業は、信頼性と回復力の面で優位に立つだろう
