重要なインフラ・システムに対する脅威は増加の一途をたどっており、企業は情報技術(IT )や運用技術(OT)を問わず、包括的なサイバーセキュリティ・ソリューションで進化する脅威の先取りを常に試みている。
サイバーセキュリティ市場の統合が進む中、中核となるサイバーセキュリティ・システムのプロバイダを選定する前に、事前準備を行うことが重要です。体系的なアプローチを取ることで、今後1年間の予算を決定する際に、選択した製品やサービスが組織のサイバーセキュリティ戦略やリスク軽減戦略と一致していることを確認することができます。重要な検討事項を検討する前に、サイバーセキュリティの目標と戦略について社内の足並みが揃っていることを確認する必要があります。
アライメントから始める
中核となるサイバーセキュリティ・システムの選定を開始する前に、社内の調整を行うことが重要である理由はいくつかあります。
ステップ1.解決しようとしている問題を理解する
企業規模、業種、規制要件、インフラ、環境などによって異なるが、まずは組織が直面するサイバーセキュリティ上の課題を明確にすることから始める。組織全体の多様な利害関係者(上級管理職、IT スタッフ、セキュリティ・スタッフ、事業部門のリーダーなど)の同意を得ることは、選択するシステムが、ビジネス固有のニーズを満たす適切なものであることを保証するのに役立つ。
そのプロセスには、重要なビジネス・プロセスの特定、復旧ポイント目標(RPO)、復旧時間目標(RTO)、さまざまなリスクの発生確率の評価などが含まれる必要があります。このプロセスは、選択したシステムが包括的なサイバーセキュリティ・ソリューションに必要な統合および相互運用性オプションを提供していることを確認するのに役立ちます。最終的には、予算とリソースの承認を得るだけでなく、全体的なセキュリティを向上させるために必要な変更を行うことに利害関係者が投資していることを確認するのにも役立ちます。
ステップ2.既存のリスクフレームワークを採用する
リスクフレームワークは、サイバーセキュリティリスクを特定・評価するための体系的なアプローチを提供し、組織に対する潜在的なリスクをすべて特定するのに役立ちます。多くの規制では、サイバーセキュリティにリスクベースのアプローチを導入することが義務付けられているため、リスクフレームワークを採用することで、これらの規制へのコンプライアンスを実証することができます。
米国国立標準技術研究所(NIST)のリスクマネジメントフレームワーク、2014年連邦情報セキュリティ近代化法(FISMA 2014)、ペイメントカード業界データセキュリティ基準 (PCI DSS)、インターネットセキュリティセンター(CIS)コントロールズなど、活用できる確立されたリスクフレームワークは数多くあります。これらのフレームワークはすべて、リスクの特定、優先順位付け、定量化に役立ちます。フレームワークを採用することで、選択したリスクフレームワークを使用して、リスクを引き受ける組織の意欲を評価することができます。
ステップ3.可能性のある解決策を評価する
何を達成しようとしているのか、どのフレームワークを使ってリスクを評価しているのかを理解したら、いくつかの基準に照らしてサイバーセキュリティ・ソリューションの候補をそれぞれ評価する必要がある:
- 製品またはサービスの公表されている能力が、実際の性能と一致していることを検証する。
- 製品やサービスが予算の範囲内に収まっているか確認する。
- 第三者によるリスク評価を実施し、ベンダーの安定性と信頼性を検証する。
- 使いやすさ、実装のしやすさ、全体的な使いやすさを考慮する。
- 製品やサービスが既存のツールやプロセスとどの程度統合されているかを評価する。
この3つのステップを踏むことで、社内の整合性が取れ、特定のニーズと要件を満たすサイバーセキュリティ・システムの候補を絞り込むことができる。しかし、サイバーセキュリティ市場が過去数年間でどれほど変化したかを考えると、さらに時間をかけて検討する必要があることがあります。
Core サイバーセキュリティ・システムを選択する際の考慮事項
綿密な防御を行うサイバーセキュリティシステムを適切に設計・導入することで、データ漏洩、マルウェア感染、サービス拒否攻撃など、さまざまな攻撃から組織のデータ、システム、人員を保護することができます。サイバーセキュリティ・システムは、サイバー脅威から組織を保護するために不可欠なものであり、それゆえに収益に重大な影響を及ぼします。ソリューションを選択する際には、以下の8つの点を考慮する必要があります:
1.製品ライフサイクル
リリース日、販売終了日、サポート終了日、製造終了日などの重要なマイルストーンを含む、製品のライフサイクルを理解する。この知識は、長期的な計画を立てる上で極めて重要である。使用期限のあるソリューションに投資しても意味がないので、使用期限があるかどうかを確認しましょう。
2.サービスとサポートの統合を評価する
選択したサービスが、既存のチームとシームレスに統合できることを確認する。サービス・レベル・アグリーメント(SLA)やエクスペリエンス・レベル・アグリーメント(XLA)に裏打ちされた、自社のチームが信頼できる拡張機能としての役割を果たすべきです。インシデント発生時にサポートするためのアカウンタビリティが組み込まれていないサービス・プロバイダーには頼りたくないものだ。
3.恐怖を煽る営業手法から身を守る
サイバーセキュリティの分野では非常によくあることだが、恐怖心だけに基づいて製品を売ろうとする会社には注意すること。営業担当者が高圧的な言葉を使って切迫感や恐怖感を煽る場合は、かなり疑ってかかること。製品やサービスを自分で調べて判断すること。投資に対する実質的な見返りがあり、セキュリティとリスク削減において具体的な改善をもたらすソリューションに注目すること。
4.ビジネスパラメーターを知る
RTOやRPOなど、組織の運用パラメータを理解することは非常に重要である。また、予算、満たすべき規制、企業の成長見込み、IT インフラも考慮する必要があります。この知識は意思決定を合理化し、現在および将来の要件を満たさないベンダーを排除することを可能にする。
5.バランス市場の統合リスク
市場統合という諸刃の剣を考えてみよう。ベンダーの数が少なければ、管理を簡素化し、パートナーとのやり取りを減らすことができるが、重大な事故が発生した場合のリスクも高くなる可能性がある。技術革新の実績があり、財務的に安定しており、評判が良く、オープンで相互運用性があり、必要に応じて乗り換えが容易なベンダーを検討する。この決定には、組織のリスク許容度が重要な役割を果たす。
6.ライセンスモデルの精査
必要なものだけに支払っていることを確認するために、ライセンスモデルを慎重に検討してください。ライセンスモデルは、ソリューションの柔軟性、コスト、およびスケーラビリティに重大な影響を与える可能性があります。コスト競争力があり、貴社の広範な目標に合致していない限り、バンドルされた製品を選ばないこと。
7.ベンダー買収パターン
新興企業の買収に積極的なベンダーに注意。このような買収は、価格設定やバンドルに影響を与え、選択肢に影響を与える可能性がある。また、製品、サポート、価格の変更や、予期せぬ統合の課題が生じることもある。場合によっては、このような買収パターンにより、より大規模な企業を選ばざるを得ないこともあります。
8.パートナーの統合
パートナーとの統合により、より多くのセキュリティ・ソリューションや専門知識を利用できるようになるため、サイバーセキュリティ態勢を改善できる可能性があります。特に組織間のつながりに依存している場合は、パートナーとの統合の価値を検討する。業界標準に準拠した製品やサービスを選択することで、こうしたやり取りを簡素化することができます。
あなたのリサーチが道しるべ
サイバーセキュリティ市場が逼迫する中、中核となるサイバーセキュリティ・システムを選定する前に、組織として十分に検討する段階が不可欠である。サイバーセキュリティの目標と戦略に関する社内の連携を確保することは、このプロセスの重要な部分です。そこから、最終的な選択が包括的なサイバーセキュリティ、リスク軽減、および全体的なビジネス目標に沿ったものであることを確認するために、候補となるプロバイダを評価する体系的なアプローチを取るようにしてください。このアプローチにより、選定プロセスが効率化され、2024年の予算を決定・確定する際の組織の位置づけが明確になります。これにより、現在および長期的に、データに基づいたサイバーセキュリティ投資の意思決定を行い、ビジネス全体に利益をもたらすことができます。
IT および OT セキュリティ戦略をOPSWAT がどのようにサポートできるか、ご興味がおありですか?
