Spektrum Labsの創業者。J.J.は、サイバーセキュリティの約束からトークン化された証明への移行と、検証可能なレジリエンスエコシステムについて探求している。
長い間、サイバーセキュリティ業界は、実証可能な有効性に焦点を当てるべきところ、希望と誇大宣伝に頼ってきた。サイバーセキュリティへの多額の投資は、経営幹部、取締役会、保険会社の信頼につながっておらず、CISOはその板挟みになっている。
この状況を続けることはできない。業界は、防御不可能な約束から、サイバーセキュリティ保護が実際に機能するという測定可能で検証可能な保証という形での、反論の余地のない証明へと移行しなければならない。
リーダーは真のサイバーレジリエンスを確保する必要があるが、それは何を意味するのか?サイバーレジリエンスは、即時の検知と対応を超えるものだ。より広範な運用スペクトル全体で、有害な事象を防止し、耐え、回復し、適応する能力を包含している。
約束の失敗
認識、約束、現実の間には断絶がある。経営幹部は保護されていると思い込んでいるが、チームは別の現実を知っている。
この楽観的な認識のギャップは、取締役会で示される状況と、サイバーセキュリティプログラムの有効性の現実—つまり、サイバーセキュリティ投資が機能すること、バックアップが回復すること、保険金が適時かつ全額支払われることを証明できない状況—との間の相違を示している。
企業のサイバーセキュリティ環境には平均83のダッシュボードがあり、それらはすべて問題なく見えるかもしれないが、会議の参加者の誰も、保護策が圧力の下で持ちこたえることを保証できない。
取締役会もまた、サイバーセキュリティインシデントの真の影響を過小評価したり誤解したりすることが多い。ウィリスの「サイバー・イン・フォーカス2025」レポートによると、インシデントの中央値は24日間で、平均損失額は270万ドルとなっている。
サイバーセキュリティベンダーは、苦戦しているサイバーセキュリティチームにとって非常に魅力的な約束を販売することが多いが、価値の証明はおろか、レジリエンスの証明を提供できないことが多い。敵対者はこのギャップを悪用し、毎年数十億ドルを犯罪や国家支援活動に流し込み、企業、消費者、世界経済にさらなる損害を与えている。
サイバーインシデントのコストに関する業界の推定値は驚くほど高い。例えば、データ侵害の平均コストはIBMの「データ侵害コスト2025」レポートによると、440万ドルと推定されており、前年比9%増加している。
証明が重要な理由
チームが十分な証拠、テレメトリ、検証可能な監査証跡を欠いている場合、何が起きたのか、いつ起きたのか、誰がそれを行ったのかを証明できない。検証可能なデータがなければ、チームはアラートを完全に信頼したり、脅威に優先順位をつけたり、自信を持って決断したりすることができない。これによりサイバーセキュリティは推測作業となってしまう。
しかし、規制コンプライアンスは実証可能な証拠に依存している。証明の欠如は以下のような大きな障害をもたらす:
• 必要なログ記録と監視制御を実証する能力の欠如。
• データ系統と管理の連続性のギャップにより、機密データが適切に処理されたことを証明することが不可能になる。
• 履歴ログの提出失敗。
• 監査リスクの増加。
規制対象セクターでは、「信頼してください」では通用しない。証明は、監査に合格するか、罰金、是正計画、法的責任に直面するかの違いである。
さらに、第三者リスク管理は検証に依存している。証明がなければ、組織はサプライヤーが合意されたセキュリティ管理を遵守しているかを確認できない。第三者システムがどのように機密データを処理しているかについての可視性がなく、未知の露出ポイントにつながる。企業はサプライヤーの主張を効果的に検証する方法がなく、継続的な監視はほぼ不可能になる。この透明性の欠如は、システム全体のサプライチェーンリスクを生み出し、継続的な証拠ベースの検証を必要とするゼロトラストの原則を損なう。
組織内では、証明の欠如は信頼性を弱め、意思決定を遅らせる。経営幹部と取締役会は測定可能な保証を必要とする。証拠がなければ、セキュリティリーダーは進捗を示したり投資を正当化したりすることができない。チームが取り組みに優先順位をつけたり改善を追跡したりするために必要な証拠を欠いているため、セキュリティ戦略は反応的になる。最終的に、証明がなければ、サイバーセキュリティは戦略的なビジネスイネーブラーではなく、信頼されないコストセンターになってしまう。
これがもたらす結果には、サイバー保険金の支払いの遅延や全額支払いがされないこと、サイバー保険の更新の停滞、無駄な監査、エコシステム全体での信頼の侵食などがある。
サイバーリスクの方向転換
サイバーリスクに意味のある対処をし、サイバーレジリエンスを証明するために、組織と業界全体はいくつかのステップを踏む必要がある:
• 管理策と回復プロセスの継続的な検証:組織はセキュリティ管理、バックアップ、回復ワークフローが機能することを検証する必要がある。これには、年次チェックではなく、自動化された高頻度のテスト、レッドチーム演習、定期的な侵入テスト、テクノロジーと人間の対応の両方を検証するテーブルトップシミュレーションが含まれる。
• 標準化された指標の合意:業界は「証明」を構成するものの共通定義が必要だ。つまり、レジリエンスとサイバー衛生のための一貫した比較可能な指標を開発することが必要:バックアップの整合性、パッチ適用の頻度、検出/対応の平均時間、多要素認証(MFA)のカバレッジ、回復成功率など。
• 共有可能で監査可能な証拠:証明には指標だけでなく、信頼できる相互運用可能な証拠形式が必要だ。これには、管理の有効性、インシデント対応の準備状況、回復結果を全てのステークホルダーと共有するための、安全でプライバシーを保護する方法が含まれる。
• 依存関係全体のリアルタイム可視性:組織はクラウドプロバイダー、サプライチェーン、パートナー全体の連鎖的リスクをモデル化し監視する能力を強化すべきだ。エコシステムレベルのリスク集約のための業界標準フレームワークは、ステークホルダーが個々の管理だけでなくシステム全体の露出を理解するのに役立つ。
• 安全なデータ交換メカニズム:これら全てをサポートするために、業界は機密情報を公開することなくレジリエンスデータを交換できる信頼できる方法(データファブリックやレジャーベースのアプローチなど)を必要とする。
これらのステップを総合すると、業界は信頼ベースの保証(約束)から証拠ベースのレジリエンス(証明)へと移行する。CISOは実証可能な有効性を獲得し、保険会社は歴史的モデルではなくリアルタイムのリスクに基づいて引受を行い、企業は「保護されていると思う」から「それを証明できる」へと移行する。攻撃者は証明のギャップを悪用するため、それらを閉じることは現代のサイバー防御の基盤となる。
サイバーレジリエンスの構築
長い間、CISOとそのチームは、証明ではなく約束に基づいて構築されたサイバーセキュリティのエコシステムを渡り歩くことを余儀なくされてきた。ツールに多額の投資が行われてきたが、取締役会や経営幹部は、これらの保護策が実際に機能するのか、保険会社の前で防御可能かどうかを認識していない。
CISO、その同僚、保険会社の間の疑いの余地のない信頼への困難な道のりには、すべての側からの努力が必要だ:要件のより良い整合、トークンやブロックチェーンなどの技術を使用した改ざん不可能な証拠の安全な共有、そして最も重要なのは、組織のサイバーセキュリティ態勢とその保護策の継続的な更新である。
敵対者が利益を得る一方で企業と保険会社が費用を支払う時代において、約束から証明への移行はオプションではなく、不可欠なものだ。
