技術の発展、サイバーセキュリティ、そしてリスクに関して、一貫したテーマがある。それは、技術革新が常に、それを保護する能力を上回るスピードで進んでいるということだ。
今日の組織は、決定的な課題に直面している。AI(人工知能)、量子コンピューティング、クラウドサービス、エッジコンピューティング、IoT(モノのインターネット)、高度な通信技術、そしてデジタルエコシステムが、ますます複雑に絡み合う世界で事業を展開しなければならない。その結果もたらされる可能性は目覚ましいものだ。しかし、リスクも同様に大きい。
サイバーセキュリティに関する議論は、攻撃の防止に限定されるべきではない。今年、そしてこれから先の真の課題は、組織のレジリエンス(回復力)を強化し、ますます相互接続が進む社会において信頼を促進することである。
デジタル経済は今や、信頼を通貨として依存している。顧客は企業に個人情報を託す。市民は政府が重要なサービスを保護することを信頼する。企業は、重要な業務を支えるために、グローバルサプライチェーン、クラウドプロバイダー、デジタルプラットフォームに依存している。
サイバー災害が発生すると、その影響は金銭的損失をはるかに超える。評判は傷つき、業務は中断され、信頼は低下し、回復には何年もかかる可能性がある。このような状況下では、サイバーセキュリティは、技術的な管理やコンプライアンス要件としてではなく、信頼、レジリエンス、創造性を促進する戦略的なビジネス上の役割として考えなければならない。
従来のサイバーリスクフレームワークでは不十分な理由
何十年もの間、サイバーセキュリティの取り組みは、特定された境界を保護するように設計されてきた。組織は、不正アクセスの防止、ファイアウォールの構築、規制基準の遵守に注力してきた。しかし、このモデルはますます時代遅れになりつつある。
今日の企業は、分散型クラウド環境、リモートワークフォース、接続されたデバイス、デジタルサプライチェーン、そしてAI(人工知能)を活用したビジネスプロセスの中で事業を展開している。データは企業の境界を越えて絶えず移動している。
今日のアイデンティティには、人間だけでなく、マシン、アプリケーション、そしてますます自律的になるAI(人工知能)エージェントも含まれる。最終的な結果は、攻撃対象領域が大幅に拡大し、従来のリスクフレームワークが対処できるよりも速く進化する脅威環境である。
したがって、サイバーセキュリティのリーダーは、予防中心のパラダイムからレジリエンス中心のパラダイムへと転換しなければならない。レジリエンスは、攻撃が避けられないことを認識する。重要な問いは次のようになる。
*組織は高まる脅威を予測できるか?
*混乱に耐えることができるか?
*迅速に回復できるか?
*危機の最中でもステークホルダーの信頼を維持できるか?
これらの問いは、AI(人工知能)と量子コンピューティングの時代におけるサイバーセキュリティ戦略の基盤となるべきである。
加速時代のための新たなサイバーセキュリティリスク管理フレームワーク
組織は、レジリエンスと信頼を高めるために、5つの戦略的柱に焦点を当てるべきである。
1. 適応的リスク管理
リスク管理は、もはや年次のコンプライアンス活動として扱うことはできない。組織には、リアルタイムインテリジェンス、予測分析、AI(人工知能)駆動型監視によって可能になる、継続的な評価能力が必要である。
動的リスクスコアリングは、資産、アイデンティティ、サードパーティ関係、新たな脅威を、定期的にではなく継続的に検証すべきである。セキュリティチームは、事後対応型の保護から予測的リスク管理へと移行しなければならない。敵対者が脆弱性を悪用する前に発見できる組織が成功する。
2. 設計によるレジリエンス
サイバーレジリエンスは、最初から企業設計に組み込まれなければならない。これには、ゼロトラストの原則、セキュア・バイ・デザインのソフトウェア開発、サプライチェーンの可視性、サイバー復旧能力、冗長性計画、危機対応訓練が含まれる。
取締役会は、災害をどれだけうまく回避するかだけでなく、混乱が発生した場合に企業がどれだけ迅速に業務を再開できるかに基づいて、サイバープログラムを評価すべきである。ランサムウェア、AI(人工知能)を活用した攻撃、インフラリスクの時代において、レジリエンスは競争上の優位性となっている。
3. 信頼中心のガバナンス
信頼の構築には、技術以上のものが必要である。組織は、説明責任、透明性、プライバシー保護、そして発展途上の技術の倫理的使用を促進するガバナンスフレームワークを構築しなければならない。
これは、AI(人工知能)システムが重要なビジネス上の意思決定にますます統合されるにつれて、特に重要になる。ステークホルダーは、説明可能性、責任あるデータ管理、そして自動化技術が事前に定義された境界内で機能しているという保証をますます期待している。信頼は、測定可能な戦略的資産と見なされるべきである。
4. 暗号アジリティと量子対応
組織は、ポスト量子暗号への移行に向けて、今日から準備を始めなければならない。暗号学的に関連性のある量子コンピューターの出現は、現在の暗号化技術を根本的に弱体化させる可能性がある。課題は技術的なものだけでなく、運用上のものでもある。
組織は、暗号資産を評価し、長期保存される機密データを特定し、NIST標準に準拠した移行計画を作成し、量子能力の進歩に応じて迅速に適応できる暗号アジリティを実装すべきである。量子対応は、事業継続性の懸念事項となりつつある。
5. 人的資本とコラボレーション
技術だけでは、サイバーセキュリティの課題を解決することはできない。組織には、サイバーリスク、AI(人工知能)ガバナンス、量子の影響、ビジネスレジリエンスを理解する熟練した専門家が必要である。官民パートナーシップ、業界協力、情報共有、労働力開発の取り組みは、すべて将来への備えの重要な要素である。
サイバーセキュリティは、政府、産業界、学界、市民社会からの協力を必要とするチームスポーツへと進化した。検討すべき具体的なフレームワークに関する詳細な視点については、次を参照されたい。5 AI risk management frameworks for shoring up key gaps | CSO Online https://www.csoonline.com/article/4185917/5-ai-risk-management-frameworks-for-shoring-up-key-gaps.html
変化を推進する力:AI(人工知能)と量子コンピューティング
この背景に対して、2つの技術が、サイバーセキュリティ変革の最も重要な推進力として浮上している。それは、AI(人工知能)と量子コンピューティングである。
両方の技術は、レジリエンスを高め、セキュリティの成果を改善するための比類のない見通しを提供する。同時に、両方とも、信頼、アイデンティティ、プライバシー、管理に関する長年の概念に疑問を投げかける脆弱性をもたらす。
これらの技術を、単なる革新ではなく、レジリエンスのレンズを通して理解することは、今後10年間を計画するサイバーセキュリティリーダーにとって不可欠である。
今後10年間の重要なサイバーセキュリティ課題は、すべての侵害を防ぐことではない。それは、デジタル相互依存が高まる時代において、信頼とレジリエンスを維持することである。
適応的リスク管理、量子対応、責任あるAI(人工知能)ガバナンス、そして設計によるレジリエンスを取り入れた組織は、加速時代において成功するための有利な立場にある。未来は、最も革新的な企業だけでなく、最も信頼でき、レジリエンスのある企業にも属している。
