レニー・シェーファー(CSDS、Data Security Inc.最高執行責任者)は、デジタルデータ破壊とデータのライフサイクル終了時のセキュリティにおけるイノベーションを推進している。
サイバーセキュリティの世界において、「ランドスケープ」という用語は、庭園や山の景色を指すものではない。それは、組織がサイバー脅威から直面する、絶えず変化する脆弱性とリスクの地形を表している。AIとデジタル変革が加速する中、脅威ランドスケープ──つまりサイバー攻撃の潜在的な侵入経路の総体──を理解することが、かつてないほど重要になっている。
これは単なる技術的な懸念ではなく、ビジネス上の必須事項でもある。攻撃対象領域への理解が不十分だと、データ侵害、業務停止、評判の毀損、そして多額の金銭的損失につながる可能性がある。しかし、認識と戦略的計画によって、組織は受動的な姿勢から能動的な姿勢へと転換し、デジタルレジリエンスにおいて決定的な優位性を獲得できる。
「脅威ランドスケープ」とは何か
脅威ランドスケープは、攻撃対象領域とも呼ばれ、悪意ある攻撃者が悪用する可能性のあるデジタル、物理的、人的接点のすべてを包含する。これには、露出したエンドポイント、時代遅れのソフトウェア、サードパーティベンダーのリスクから、ソーシャルエンジニアリングや内部の過失といった人的脆弱性まで、あらゆるものが含まれる。
IBMの「Cost of a Data Breach Report 2025」(完全版の閲覧には登録が必要)によると、医療業界は12年連続で最も標的とされたセクターだったが、現実にはどのセクターも免疫を持っていない。侵害は、フィッシングやサードパーティベンダー、サプライチェーンの侵害を通じて発生することが多い。特定の脅威ランドスケープを理解しマッピングすることは、単なるITの衛生管理ではなく、企業の長期的存続への戦略的投資なのである。
過失のコストは金銭だけではない
独立系調査機関であるPonemon Instituteは、サイバーセキュリティインシデントの55%が従業員または雇用主の過失に起因することを明らかにした。これらのインシデントの年間平均コストは880万ドルである。
しかし、金銭的損失を超えて、取り返しのつかない評判の毀損がある。信頼はビジネス関係の礎であり、一度壊れると修復は困難である。繰り返される侵害や公になったセキュリティ上の失敗は、顧客離れ、規制当局による罰金、場合によっては事業閉鎖につながる可能性がある。
良いニュースは、これらのインシデントのかなりの部分が予防可能だということである。継続的なトレーニング、認識向上、脅威マッピング、そして責任あるライフサイクル終了時の実践により、組織は攻撃対象領域を縮小し、長期的なレジリエンスを構築できる。
以下、その始め方を紹介する。
1. 教育とサイバーセキュリティトレーニングを優先する
脅威ランドスケープを改善するための最初の、そして最もアクセスしやすいステップは、雇用主と従業員の教育である。多くの組織がフィッシングに関する基本的なトレーニングを提供しているが、基本を超えて拡大することが重要である。スピアフィッシング、ビッシング(音声フィッシング)、スミッシング(SMSフィッシング)といった高度なフィッシング技術には、より深い認識と更新されたトレーニングプロトコルが必要である。
見過ごされがちだが重大なリスクは、シャドーITである。これは、従業員による未承認のアプリケーション、ソフトウェア、デバイスの使用を指す。善意から行われることが多いが、これらのツールはセキュリティ審査を回避し、重大な脆弱性を生み出す可能性がある。リーダーシップは透明性を奨励し、承認されたツールのポリシーを採用し、未承認の技術を定期的に監査すべきである。サイバーセキュリティは、ITだけでなく全員の責任である。チームを最前線の防御として力づけることが重要だ。
2. 人間の直感を活用してソーシャルエンジニアリングに対抗する
ソーシャルエンジニアリングは、特にエージェンティックAI、ディープフェイク、音声クローニングといった新興技術と組み合わされた場合、サイバー犯罪者が使用する特に効果的な戦術となり得る。これらの戦術は、緊急性、混乱、なりすましに依存して論理的精査を回避することが多い。直感を奨励することが重要である。
自問してみよう。
• 上級リーダーからのメールでの依頼が、その人物らしくないと感じたことはないか。
• 確認や質問をする時間もなく、迅速に行動するよう求められたことはないか。
こうしたシナリオはますます一般的になっており、あなたの本能は重要である。従業員がリーダーシップからであっても、異常な要求に疑問を持つことが安全だと感じられる検証の文化を奨励すべきである。これは、機密データ、認証情報、金融取引が関与する場合に特に重要である。
今日の脅威ランドスケープにおいて、直感と二重確認が攻撃を始まる前に阻止できる。行動する前に深呼吸して一息つくことも素晴らしいアイデアである。
3. 脅威マップを開発し維持する
脅威マップの作成は、サイバーセキュリティ防御を可視化し、監視し、改善するための戦術的な方法である。これは、組織全体にわたる既知のアクセスポイントと脆弱性を、デジタルと人的の両面で特定し文書化する。脅威マップは、リスクと対応の明確な全体像を提示することで、技術チームと経営幹部の連携を支援することもできる。
適切に維持された脅威マップにより、組織は以下が可能になる。
• 脆弱性を特定し優先順位をつける。
• インシデント対応時間を短縮する。
• 平均検出時間(MTTI)と平均封じ込め時間(MTTC)を削減する。
前述のIBMレポートは、データ侵害の世界的コストが9%減少したことを明らかにしたが、米国では936万ドルから1022万ドルへと過去最高を記録したとも述べている。これは、改善の余地が大きいことを意味する。脅威マップは、ステークホルダー、クライアント、取締役会メンバーにサイバーセキュリティ戦略を伝える際にも貴重な資産となる。
4. 責任あるITAD実践を優先する
従来のIT資産処分(ITAD)は、埋立地への投棄とデータ保有デバイスの安全でない廃棄を伴うが、新しいITADサービスは、データ消去、シュレッダー処理、消磁、その他の種類の認証チェックを使用して、すべてのデータ保有デバイスのデータセキュリティを確保する。(完全開示:私の会社を含む多くの企業が、この分野でサービスとソリューションを提供している。)サードパーティベンダーと協力している場合、彼らを審査し、データを確実に破壊していることを確認することが重要である。
また、責任あるITADに関連する再販機会があるかどうかを尋ねることもできる。これにより、再生デバイスの再販や、デバイス自体に含まれる貴金属のリサイクルと回収から利益を得ることができる。このプロセスを考える簡単な方法は、電子廃棄物が埋立地に行くか、信頼できないリサイクル業者によって悪意ある者の手に渡るほど、環境とデバイス内の情報に対するリスクが大きくなるということである。
最後に:バランスが鍵
利便性とセキュリティの間には避けられない緊張関係がある。しかし、今日のデジタル経済において、セキュリティは戦略的優先事項でなければならず、事後的な対応であってはならない。脅威は進化し続け、防御もそれに合わせて進化しなければならない。
教育への投資、従業員の力づけ、脅威ランドスケープの動的な理解の維持、そしてサードパーティベンダーからのデータ破壊証明書の要求により、組織は単に対応するだけでなく予測することができるようになる。そうすることで、データだけでなく、ブランド、人材、そして未来を守ることができる。
