今年初め、OPSWAT 、提携している通信ベンダーの1社から、同社側で発生したセキュリティインシデントについてOPSWAT 。このインシデントにより、当社のテナントに関連する一部のビジネス連絡先情報が漏洩する可能性がありました。この通知はベンダーから直接行われ、その後、両社のチーム間で緊密な連携が取られました。
OPSWAT 悪意のある活動の兆候は見られず、当社のテナントからのデータ流出の証拠も確認されず、通報を受けた時点では継続的な脅威も存在しませんでした。それでもなお、当社は本件をその重要性にふさわしい厳粛さをもって対応しました。
CISOとして、このようなインシデントは、理論上は簡単に語れるものの、実践では対処がはるかに難しいといういくつかの現実を改めて痛感させられる。
まず、サードパーティ・リスクはもはや二次的な懸念事項ではありません。現代の企業は密接に相互接続されています。IDプラットフォーム、SaaSの統合、顧客エンゲージメントシステムは真のビジネス価値を生み出しますが、一方で、自社の直接的な管理の及ばない場所で問題が発生した場合、影響を受ける範囲を拡大させてしまいます。自社のセキュリティ体制が堅固であっても、その影響が組織に及ぶ可能性は依然としてあるのです。
第二に、社内の透明性は、事態の封じ込めと同じくらい重要です。事態の範囲と影響が明確になった時点で、私たちは従業員と直接コミュニケーションをとることを選びました。これを差し迫った脅威とは見なしていませんでしたが、情報を共有することで、人々はより適切な判断を下せることを理解していたからです。沈黙によって不確実性を生むのではなく、コミュニケーションを通じて信頼を築くことを決断したのです。
第三に、対応の質は、慌てふためくことではなく、事前の準備によって決まります。当社のセキュリティ、IT、およびエンタープライズアプリケーションの各チームが迅速に対応できたのは、役割分担、エスカレーション手順、証拠の取り扱いプロセスがすでに整備されていたからです。ログは保存され、アクセス経路は精査されました。また、脅威インテリジェンスを活用して二次的なリスクの有無を確認しました。こうした規律ある体制は、インシデントが発生する前から時間をかけて構築されていたものです。なぜなら、事前の準備なしに、インシデント発生時に規律が突然現れることはないと、私たちは理解していたからです。
最後に、このような事件の後に、フィッシングやソーシャルエンジニアリングの攻撃が仕掛けられることがよくあります。システムが安全に保たれていても、人々が標的となる可能性は依然としてあります。警戒を強め、予期せぬ要求を確認し、不審な活動を報告することは、依然として最も効果的な防御策の一つです。
この見解を提示するのは、特定のベンダーのインシデントを取り上げるためではなく、より広範な原則を強調するためです。サイバーセキュリティとは、単に侵害の防止にとどまらず、組織の環境に影響を及ぼすインシデントへの対応方法、コミュニケーションの明確さ、そしてステークホルダー間の信頼を継続的に強化することなども含まれます。
OPSWAT、セキュリティを単なる付随的な機能ではなく、事業運営上の責任として捉え続けていきます。つまり、自社およびパートナー企業に対して高い基準を課し、重要な局面では率直に意思疎通を図り、レジリエンスは完璧さではなく、準備と人材によって築かれるという現実を常に念頭に置くということです。
- マイク・バーカー
OPSWAT最高情報セキュリティ責任者(CISO)兼最高執行責任者(COO)
