マクスウェル・アレス氏は、Alles TechnologyのCEO。資産運用業界向けサイバーセキュリティの第一人者である。
何世紀にもわたり、軍事指導者たちは最初の一発が放たれるはるか前から戦いの準備をしてきた。彼らは地図やテーブルを囲み、シナリオを議論し、前提を疑い、仮想的な状況下で意思決定を試した。こうした机上の戦争演習は、実際の戦闘が始まったときの混乱や躊躇、壊滅的なミスを防ぐために設計されていた。
今日、企業のリーダーたちが直面する戦場は異なるが、原則は同じである。
今日の敵は、サイバー犯罪者、ランサムウェア組織、国家主体の攻撃者だ。戦場はデジタル空間である。特に、極めて機密性の高い情報を管理する資産運用会社や金融サービス企業にとって、準備不足のコストは理論上のものではない。それは規制当局の監視、評判の毀損、顧客の離反、そして危機下でのリーダーシップの信頼性喪失として現れる。
米国におけるデータ侵害の平均コストが現在1022万ドルに達し、サイバー犯罪が世界全体で10兆5000億ドル以上の損失をもたらすと予測される時代──もし国家であれば世界第3位の経済規模に相当する──対応の予行演習を怠ることは、もはやIT計画の欠陥ではない。ガバナンスの失敗である。
それでも多くの組織は、サイバーセキュリティをリーダーシップの規律としてではなく、テクノロジーへの投資として捉えている。
彼らはツールを購入する。監視システムを導入する。検知業務を外部委託する。しかし彼らが怠っているのは、サイバーインシデントがプレッシャー下でのリアルタイムの意思決定を迫ったとき、経営幹部、法務顧問、コンプライアンス担当者、IT責任者、顧客対応チームが実際にどのように連携するかを練習することだ。
これこそが、サイバーセキュリティの机上演習が埋めるべきギャップである。
机上演習をリーダーシップの責任として扱う
サイバーセキュリティの机上演習とは、主要な関係者がランサムウェア、データ侵害、サードパーティの侵害といった現実的なサイバーインシデントを想定し、事態の展開に応じて意思決定を行う、構造化された議論ベースのシミュレーションである。
リーダーにとって、その価値は技術的なものではない。組織的なものである。
机上演習は、リーダーシップチームが以下を理解しているかを明らかにする:
• プレッシャー下で誰が意思決定権限を持つか
• 規制上および開示義務を理解しているか
• 法務、コンプライアンス、IT、顧客対応チーム間で明確にコミュニケーションできるか
• 感情と不確実性が支配する前に期待値を調整できているか
経営幹部が参加していなければ、演習は失敗する可能性が高い。インシデント対応は、ファイアウォールのレベルではなく、リーダーシップのレベルで破綻するのだ。
アドバイス:経営幹部の参加を必須とすること。CEO、COO、マネージングパートナーが関与していなければ、演習は理論的なものとなり、価値を失う。
机上演習を使って前提を暴く
机上演習の最も重要な成果の1つは、確認ではなく、不快感である。
シミュレーションを実施する際は、次のような問題を探すべきだ:完全に見えるが時代遅れまたは実行不可能なインシデント対応計画、存在しない可用性や権限を前提としたエスカレーション経路、規制上の期待と運用上の現実とのギャップ、法的リスク、顧客コミュニケーション、対応スピード間の優先順位の対立。
予行演習なしでは、組織は前提に依存する。実際のインシデント時には、前提は遅延となり、遅延はコスト、損害、監視の増大につながる。
アドバイス:自信を検証するのではなく、挑戦するように演習を設計すること。最も準備が整っている領域ではなく、最も脆弱な領域に負荷をかけるシナリオを選ぶこと。
インシデント対応計画を実践で検証する
ほとんどの金融サービス企業は、FINRA、米証券取引委員会(SEC)、またはDORAのようなフレームワークに基づく規制要件を満たすためにインシデント対応計画を維持している。しかし、文書化だけでは準備が整っているとは言えない。
机上演習は、唯一重要な問いに答える助けとなる:人々が実際に使用しなければならないとき、その計画は本当に機能するのか?
リーダーは実践的な現実に向き合う必要がある:
• 対応手順は明確で実行可能か?
• チームはいつ、誰にエスカレーションすべきかを知っているか?
• 混乱や重複なしに迅速に意思決定できるか?
• 計画は機能横断的な協調行動を支援しているか?
アドバイス:すべての机上演習の後、インシデント対応計画を直ちに更新すること。責任者を割り当てる。是正措置を追跡する。ギャップを学習機会ではなく、運用リスクとして扱うこと。
演習を使って法務、コンプライアンス、顧客コミュニケーションを調整する
サイバーインシデントはIT部門だけで展開されるわけではない。それは法的リスク、規制報告、保険調整、顧客コミュニケーションを引き起こす──多くの場合、同時に。
リーダーは机上演習を使って、顧客にいつどのように通知するか、誰が外部メッセージを承認するか、規制当局とどのように関わるか、保険会社やフォレンジック企業などのサードパーティをどのように巻き込むかをテストすべきである。
これらの決定は、実際のインシデント中に即興で行うことはできない。
アドバイス:法務、コンプライアンス、コミュニケーション責任者に演習への積極的な参加と発言を求めること。予行演習での沈黙は、現実では混乱となる。
認識だけでなく、筋肉の記憶を構築する
実際のサイバー危機では、プレッシャーは激しく、意思決定は迅速に行わなければならない。一度も一緒に練習したことのないチームは、しばしば躊躇し、作業を重複させ、または相反する目的で動く。
リーダーは机上演習を使って筋肉の記憶──完璧な情報を待たずに、不確実性から協調行動へと移行する能力──を構築できる。
アドバイス:机上演習を少なくとも年1回、主要なシステム変更、買収、規制変更の後にはより頻繁に実施すること。
コンプライアンス態勢と顧客の信頼を強化する
規制当局は、企業がサイバーセキュリティ計画を持っているだけでなく、それらの計画が実践され改善されていることを実証することを期待している。机上演習は、運用上の成熟度の具体的な証拠を提供する。
準備はまた、顧客と話す際にリーダーに自信を与える。サイバーインシデントへの準備方法を明確に説明できる企業は、規律、先見性、プロフェッショナリズムを示すのだ。
アドバイス:演習、成果、改善を文書化すること。それらを取締役会レベルのリスク管理成果物として扱うこと。
リーダーは次に何をすべきか?
効果的なサイバーセキュリティ机上演習を実施するには:
1. ITだけでなく、機能横断的なリーダーシップを巻き込む。
2. 脅威プロファイルに合わせた現実的なシナリオを使用する。
3. 前提に挑戦する。
4. 学んだ教訓を記録し、説明責任を割り当てる。
5. 結果をセキュリティ運用だけでなく、ガバナンスに統合する。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は机上演習のヒントとフレームワークを提供しているが、私の経験では、リーダーシップのコミットメントが有効性を決定する。
準備は競争優位性である
資産運用会社や金融サービス企業にとって、サイバーセキュリティの机上演習は防御的な取り組みではない。それは差別化要因である。私の経験では、対応を予行演習する企業は、より速く動き、より早く回復し、より信頼性の高いコミュニケーションを行う。
計画も予行演習もなしに戦場に入ることは決してないだろう。
計画なしにサイバー攻撃に直面することは、単にリスクが高いだけではない。それはリーダーシップの失敗である。
