セキュリティ & アイデンティティ

Cloud CISO の視点: 取締役会はサイバークライシスコミュニケーションにどのように貢献できるか

2023年11月2日

https://storage.googleapis.com/gweb-cloudblog-publish/images/cybersecurity_action_team_jl2RU0c.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2023 年 10 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 10 月最初の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。今月は、ますます重要性を増している（そして軽視されがちな）クライシスコミュニケーションという組織のスキルについて、そして不可避な事態に組織を備えるために、取締役会にどのようなことができるのかについてお話しします。効果的なクライシスコミュニケーションについては、先週発表されたPerspectives on Security for the Board（取締役会のためのセキュリティの視点）第 3 レポートの中心的な話題でした。

取締役会はサイバークライシスコミュニケーションにどのように貢献できるか

取締役会は組織のセキュリティインシデントに対する備えを監視し、保証する立場にあり、サイバークライシスコミュニケーションはその大きな部分を占めます。組織が最悪のシナリオに備えるのを助ける取締役会は、その影響を未然に軽減する役割の一翼を担っていると考えています。

効果的なクライシスコミュニケーションにより、事業継続のための重要なライフラインを構築でき、サイバーインシデントの影響を最小に抑えることができます。もちろん、組織がタイムリーな検出、封じ込め、根絶、復旧機能を持つことは重要です。しかし、同じくらい重要なのは、サイバー危機の際に関係者、お客様、社会全般と迅速かつ効果的にコミュニケーションを取り、信頼を維持し、場合によっては信頼を向上させるために必要な組織力を事前に訓練しておくことです。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Phil_Venables_small.max-2200x2200.jpg

危機における、迅速かつ組織的な対応は必要不可欠です。ソーシャルメディアプラットフォーム、公式発表、複数のチャネルで共有される定期的な更新は、クライシスコミュニケーション戦略を成功させる重要な要素です。

最新版の取締役会の視点レポートでは、Mandiant のクライシスコミュニケーション対応の専門家が、サイバーセキュリティのクライシスコミュニケーションに対処する際の実体験からの教訓を共有しています。以下のガイダンスでは、役員、IT 部門、セキュリティ部門のリーダーに問うべき重要な質問や、クライシスコミュニケーション対応の 4 つの重要なフェーズについて取り扱っています。

フェーズ 1: 戦略的な準備

この基本的なフェーズは、規模、部門、場所を問わず、すべての組織にとって重要な活動です。計画のアプローチは組織に合わせてカスタマイズされるべきであり、役割と責任を明確に定義した文書化された反復可能な計画、正式な決定権限レベルを含むガバナンス構造、および対応の枠組みを提供します。

危機対応チームには組織全体からの代表を含めるべきです。何が必要になるかは予測できません。

危機対応チームには組織全体からの代表を含めるべきです。特にハードウェアのプロビジョニング、実用的なインテリジェンスの発信、深い知見を示すデータ影響評価の実施においては、何が必要になるかは予測できません。チームはまた、ガバナンスと管理のモデルを導入し、部門内の職務に合致した明確なワーキンググループを設置することが大切です。

フェーズ 2: 保証

2 番目のフェーズも事前対応の一部で、「保証」または演習フェーズです。このフェーズでは、組織は実際の攻撃やシナリオに基づいてチームの対応を演習します。州によっては、取締役会対応の一環としてこれを義務付ける動きさえあります。サイバーセキュリティの机上演習と危機シミュレーションを定期的に行うことで、準備態勢を大幅に強化できます。これらの演習により、インシデントへの対応過程を改良できるだけでなく、実際のシナリオ管理において組織にとって貴重な経験が得られます。

フェーズ 3: インシデント対応

対応の実行は、最初の 2 つのフェーズで何を優先し、何にフォーカスしたかにより定義されます。その日が来たら、組織は対応のためにチームを迅速に立ち上げられるようにしておくことが不可欠です。最初の 2 つのフェーズ中にとられた行動は、役割と責任を明確にし、対応を導く機能的なガバナンス構造を確立するのに役立ちます。

対応チームは必要な情報交換セッションを設定し、アクションアイテムとタスクを追跡できます。対応チームは関係者とコミュニケーションチャネルをすでにマッピングしており、迅速にチャネルの準備状態を評価することができます。よく訓練され、十分な装備をもち、必要なツールを事前に準備している対応担当者ほど、スムーズで効果的に対応できます。

フェーズ 4: インシデント後のレビュー

侵害の管理は、それを経験した人々に感情面でも運営面でも、大きな負担となる可能性があります。多くの人は、インシデントについて二度と話したくなくなります。しかし、難しいかもしれませんが、インシデント後のレビューを完了させることは重要です。このフェーズは、状況が落ち着いたころに始まります。つまり、調査が完了し、復元活動によって事業が復旧し、

規制機関や被害者に通知がされた後に始まります。これを「事後措置」または「教訓」フェーズと呼ぶ場合もありますが、計画に次いで重要なフェーズのひとつです。

取締役会は、その監督的な立場から、強固な技術的防御とクライシスコミュニケーション戦略を絡めた多面的なアプローチの立案を支援するのに適しています。

このポッドキャストでは、Mandiant Crisis Communications が侵害を受けた組織をどのように支援しているか、最前線の話を聞くことができます。

ビジネスリーダーへの質問

取締役会は、その監督的な立場から、強固な技術的防御とクライシスコミュニケーション戦略を絡めた多面的なアプローチの立案を支援するのに適しています。この 2 つが合わせられ、組織のデジタルアセットと評判を守るためのより良い基盤が構築されます。取締役会が役員、IT 部門、セキュリティ部門のリーダーに問うべき主な質問には、以下のようなものがあります。

サイバーインシデント発生時のあなたの役割は？
情報セキュリティ、データ、またはプライバシーに関するインシデントが発生した場合、あなたの組織の規制上および法律上の報告要件は何ですか？
インシデントが発生した場合、どのように連絡を受け、どのようなプロセスで連絡を認証しますか？
インシデントに関連する連絡を共有し、受信するための安全な方法がありますか？
リスクベースの意思決定に役立つ脅威インテリジェンスの定期的な概要報告を、どれくらいの頻度で受け取っていますか？
組織にサイバーインシデント対応用の計画、ハンドブック、文書があることを確認しましたか？
幹部向けの机上演習に参加していますか？

ビジネスリーダーにとって、インシデント管理においてコミュニケーションがどれほど重要な役割を持つかは、いくら強調してもしすぎることはありません。複雑なビジネス環境とリスク環境が刻々と変化するなか、迅速かつ効果的に対応できるかどうかは、コミュニケーション戦略次第です。タイムリーで透明性の高い社内外のコミュニケーションは、従業員と資産の安全を確保し、組織の評判と関係者の信頼を守ります。

各役員は、それぞれの影響力の及ぶ範囲内でこの大義を唱え、組織のあらゆるレベルでオープンで効果的なコミュニケーション文化を奨励すべきです。チームとしてクライシスコミュニケーション戦略を採用し、訓練することは、リスクを軽減し、成長と革新の機会を生み出すのに役立ちます。組織は多くの場合、将来の課題に立ち向かうために、強さと復元力を向上することができます。

Google Cloud Security Talks に参加して、2024 年に有利なスタートを切る

10 月 25 日には、Google Cloud が主催するイベントでエキスパートが一堂に会し、分析情報やベストプラクティスのほか、最新のリスクや脅威に対して復元性を強化する方法を紹介します。

その他の最新情報

セキュリティチームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

Google、ピーク時 3 億 9,800 万 rps を超える現時点で最大規模の DDoS 攻撃を緩和: Google Cloud は、新しい「Rapid Reset」技術を用い HTTP/2 のストリーム多重化を悪用した、これまで知られる限り最大の DDoS 攻撃を阻止しました。詳細はこちら。
仕組み: 新手の HTTP/2「Rapid Reset」DDoS 攻撃: 新しい DDoS 攻撃手法「Rapid Reset」の仕組みとその軽減方法について説明します。詳細はこちら。
機密データの保護による生成 AI ワークロードの安全確保: Google の機密データの保護を使用して生成 AI アプリケーションを保護するためのデータに焦点を当てたアプローチと、実際の事例をご紹介します。詳細はこちら。
Reddit、Web Risk を使用して、フィッシング、マルウェア、ソーシャル エンジニアリングからユーザーを保護: Reddit をユーザーにとって快適でリアルな空間に保つため、Reddit は Google Cloud の Web Risk API を使用して、ユーザー作成コンテンツ内の URL を大規模に評価しました。詳細はこちら。
侵入防止サービスを利用可能な Google Cloud Firewall Plus の紹介: Cloud Firewall Plus のこのアップデートにより、お客様のネットワーク上のマルウェア、スパイウェア、コマンドアンドコントロール攻撃に対する保護が提供されます。詳細はこちら。
Dev（Sec）Ops Toolkit を使用して、1 時間以内にアプリケーションを配信し、保護: Dev（Sec）Ops ツールキットは、Cloud Load Balancing、Cloud Armor、Cloud CDN により、インターネット接続のアプリケーションの配信を高速化します。詳細はこちら。
Workload Identity 連携と Terraform Cloud でインフラストラクチャを管理する: Terraform Cloud ワークスペースと Workload Identity 連携のインテグレーションにより、Google Cloud サービスアカウントを認証して権限を借用できます。詳細はこちら。
GKE 向け Advanced Vulnerability Insights をリリース: Artifact Analysis と Google Kubernetes Engine を連携させた、新しい脆弱性スキャン機能 Advanced Vulnerability Insights をリリースしました。詳細はこちら。
Android のコンテキスト アウェア アクセスを適用するための追加シグナル: BeyondCorp Enterprise、Workspace CAA、Cloud Identity は、高度な管理対象デバイス、そして今回初めて対象となる基本的な管理対象デバイスの両方で、クリティカルな Android デバイスセキュリティシグナルを受信できるようになりました。詳細はこちら。
reCAPTCHA Enterprise と GDPR コンプライアンスの重要性: Google Cloud reCAPTCHA Enterprise は、お客様の指示に従って個人データを安全に処理することで、企業の GDPR 遵守を支援します。詳細はこちら。

Mandiant からのニュース

2023 年における北朝鮮のサイバー攻撃の構造と配置の評価: 北朝鮮の攻撃プログラムは進化を続けており、同政権がスパイ活動や金融犯罪を行うためにサイバー攻撃による侵入を続ける決意を示しています。詳細はこちら。
2021 年から 2022 年にかけての脆弱性悪用までの時間の傾向を分析: Mandiant Intelligence は、2021 年から 2022 年にかけて悪用された 246 の脆弱性を分析し、毎年悪用される脆弱性の数は増加し続けている一方で、全体的な悪用までの時間は減少していることを明らかにしました。詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

2023 年の「なんでも聞いてください」: 「午前 3 時」のクラウドセキュリティテストはどこから来たのか？あなたのセキュリティの「秘密の起源」は何ですか？ホストの Anton Chuvakin と Tim Peacock が、今年のポッドキャスト「なんでも聞いてください」で個人的な質問にお答えします。ポッドキャストを聴く。
西海岸から東海岸まで、2015 年から 2023 年まで: クラウド セキュリティの変化: 東と西のクラウド CISO の考え方の比較から、クラウドセキュリティが 2015 年の形成期からどのように変化したかまで、Anton と Tim は AppLovin のグローバル情報セキュリティ責任者である Jeremiah Kung 氏とともに、その深い暗い過去からクラウドセキュリティの未来への手がかりを探ります。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。