パナソニック コネクト ノースアメリカの社長であるリック・エリオット氏は、垂直市場全体でテクノロジーとカスタマー中心のビジネスを率いています。
組織のサイバーセキュリティにおいて、すべての従業員が役割を担っています。ビジネスリーダーとしての私たちの責任は、テクノロジーへの投資だけでなく、セキュリティを組織全体の共有優先事項にすることにも及びます。
従業員が強力なサイバー防御に支えられていると認識していれば、潜在的な脆弱性に気を取られることなく、仕事に集中できます。連邦部門、公共サービス、エネルギー・公益事業、製造業などのハイステークスな現場環境では、その信頼感が極めて重要です。一度のミスが、従業員と彼らが奉仕するコミュニティの両方に実際の影響を及ぼす可能性があります。
サイバーレジリエンスは、事後対応ではなく、積極的な取り組みでなければなりません。テクノロジープロバイダーにとって、それは製品開発、展開、サービスのあらゆる段階にセキュリティを組み込むことを意味します。顧客やエンドユーザーにとっては、テクノロジーパートナーに責任を持たせ、最初から適切な質問をすることを意味します。
ここでは、サイバーレジリエンスを強化し、従業員、ビジネスリーダー、セキュリティチームのいずれもが予防可能な脅威に悩まされないようにするための3つの実践的な方法を紹介します。
1. テクノロジーベンダーをセキュリティ優先の文化の一部にする。
データ侵害の90%以上はヒューマンエラーが原因です。リーダーシップは最新のテクノロジーとガードレールを導入できますが、従業員がベストプラクティスを使用し、進化するサイバー脅威の状況を認識していることを確認することも同様に重要です。これはすべての業界に関連していますが、従業員やチームが重要インフラに直接接続され、機密情報にアクセスできる機関にとっては最も重要です。遠隔地でコンピューティングデバイスを使用する場合でも、接続された緊急対応車両からでも、災害現場からでも、サイバーレジリエンスは譲れません。
企業文化とトレーニングは、組織のサイバー防御に直接結びついています。この2つは切り離せないものです。これらの組織と協力するテクノロジープロバイダーは重要な役割を果たすことができます。彼らはベストプラクティスを奨励することで、サービスを提供する企業をサポートする必要があります。これは、コンサルティング型の関わりから生まれる追加のサービス層(そして共有責任)です。
例えば、プロバイダーはウェビナーやカスタマー中心のパネルを主催したり、オンボーディング資料を作成したり、顧客やパートナーをイベントやカスタマーエクスペリエンスセンターにライブディスカッション用に招待したりすることができます。これらのアクションは、サイバーレジリエンスに関するポジティブな双方向の対話を生み出します。組織はまた、顧客の特定の業界全体で一般的なサイバー攻撃に関連する対面トレーニングやシナリオ計画を実施することもできます。さらに一歩進めて、これらの会話から収集された情報は、製品やサービスのイノベーションを形作り、新しいオファリングの形で顧客に還元されるべきです。
2. セキュリティに階層的アプローチを取る。
サイバーレジリエンスへの階層的アプローチの必要性につながる要因はいくつかあります。これには、リモートワーク、コラボレーションテクノロジー、IoTの進化、脅威の高度化が含まれますが、これらに限定されません。方程式のソフトウェア側に多くの焦点が当てられる中、ハードウェアセキュリティを置き去りにすることはできません。
今日の作業環境では、デバイスはソフトウェアやネットワークの観点からだけでなく、物理的な観点からも脆弱になっています。例えば、デバイスはサードパーティのシステムやIoTテクノロジーにドッキングまたは接続されている可能性があります。USB、SSD、リーダーなど、改ざんされる可能性のある複数の物理ポートがあります。リモートや地方への移動中にネットワークから一定期間切断される可能性もあります。ベストプラクティスを奨励することはできますが、予測不可能な状況が発生した場合、すべてのコンピューティングデバイスを監視し続けることはほぼ不可能です。
階層的アプローチは、多くの異なるタイプの脅威から防御します。ビジネスリーダーとセキュリティリーダーは、テクノロジーがテストされ調達された瞬間から、工場を出て、チャネルを通じて送られ、エンドユーザーのデスクに到着し、そして現場に持ち込まれるまで、さまざまな脅威ベクトルが考慮されているかどうかについて、ITや他の部門と積極的に会話すべきです。
保護を維持するために、以下のセキュリティ層に焦点を当てましょう:
• ハードウェア:サプライチェーンの完全性を確保し、不正なコンポーネントを検出します。
• ファームウェア:低レベルの脅威から保護し、コンプライアンスを簡素化します。
• オペレーティングシステム:継続的なコンプライアンスとリモートコントロールを維持します。
• エンドポイント:ランサムウェアやゼロデイ脅威をリアルタイムでブロックします。
3. 付き合う企業を徹底的に理解する。
「付き合う相手次第で自分の価値が決まる」という古い言葉を聞いたことがありますか?それはビジネスの世界でも当てはまります。セキュリティは絶対に組織の四方の壁を超えて広がり、私たちが接続された環境で生活し働いていることを健全に思い出させます。どの組織も顧客のあらゆる問題に対する答えになることはできませんが、エンドユーザーにとってそのプロセスをよりスムーズにするパートナーシップや統合があります。テクノロジーベンダーが顧客のニーズや課題を予測するために前もって努力すればするほど、顧客の支持も良くなります。
高度に規制された業界のテクノロジーユーザーは、より厳しい要件を満たさなければなりません。これはテクノロジーパートナーとして考慮されなければなりません。例えば、連邦および公共部門の設定では、犯罪司法情報サービス(CJIS)、国立標準技術研究所(NIST)、連邦情報セキュリティ近代化法(FISMA)などの複数のコンプライアンス義務を遵守する必要があります。これは、サイバーセキュリティシステムがより厳しい精査を受け、より透明性を持たなければならないことを意味します。
企業はコンプライアンス対策を明確に伝えるベンダーと協力すべきです。この透明性は信頼を醸成し、調達と展開のサイクルを加速させ、追加の認証や検証の課題の必要性を排除します。テクノロジーベンダーとその包括的なテクノロジー環境を評価する際に、最初から質問をしないことは、組織が取ることのできないリスクです。
サイバーレジリエンスの未来を見据える。
サイバーレジリエンスは常に進化する方程式です。一日として同じ日はありません。トレーニング、ソリューション、パートナーシップの観点からベストプラクティスを導入することで、組織は脅威の軽減に向けて良い位置に立つことができます。
テクノロジーパートナーにとって、信頼を確立し、顧客が変化する要件を満たすのを支援できればできるほど良いでしょう。これには、あなたの人材、製品、プロセスが含まれます。
エンドユーザーにとっては、適切な質問をすることで、組織が短期的にも長期的にも成功する態勢を整えることができます。
