デジタルトランスフォーメーションの落とし穴を回避する

08 February 2019

原文: AVOIDING THE PITFALLS OF DIGITAL TRANSFORMATION

JLTのサイバーコンソーシアムパートナーであるJOS社のマネージングディレクター、マーク・ラント氏、Adura Hong Kong社のシニアビジネスマネージャー、アンワー・マッケンティー氏による寄稿

昔々、あるデジタルトランスフォーメーション(DX)リーダーがいた。このトランスフォーメーションリーダーはその目的に則ったテクノロジープロジェクトをスケジュール通りに、予算内で実行した。皆、プロジェクトの完了を喜んだ。その会社の企業情報がダークウェブで販売されるまでは。

悲しいことに、そのトランスフォーメーションリーダーはもはやその企業にはいない。

残念ながら、このたとえ話は統計が示す以上に企業に現実として起きている。私たちは、これらの統計に大きく影響しているいくつかの見落としや、どのようにして“ヒーローからゼロへ”を回避することが出来るのかを議論したい。

デジタルトランスフォーメーションへの取組みや単純なプラットフォームのアップグレードにおいて、様々なプロジェクトライフサイクルを通じて十分なセキュリティリスクを考慮していないケースがあまりにも多く発生している。企業は事業への恩恵や競争上の利点を賞賛するだけではなく、包括的なリスクレビューも行わなければならない。

これは、リスクの検討から始まり、資産の特定や、サイバー攻撃の可能性や金銭的な価値を含んだ影響まで徹底的に行わなければならない。その目的は、機能の転換(トランスフォーメーション)に対するセキュリティ管理を調和させることで企業の(セキュリティ)リスクが特定、把握されていることを確かめることにある。これがプロジェクト計画の初期段階で実施された場合、企業はサイバー攻撃(またはシステムの不具合)の影響を最小限に抑えることが出来たと安心することが出来る。

デジタルトランスフォーメーションとは機敏性や効率、そして競争力を向上させるためにプロセスやサービス、ビジネスモデルをデジタル化することだ。Gartner誌はITセキュリティチームがデジタルリスクを効果的に管理する能力が欠落していることにより、2020年までに60%のデジタル事業が大規模なサービスの不具合に陥ると述べている。

統計はデジタルリスクと人気のトランスフォーメーション機能とのバランスに関する議論を余儀なくさせている。デジタルトランスフォーメーションにおいては、3つの分野について検討を行うべきだ:インフラ、人、そしてリスク/脅威の状況。

インフラが常に変化、進化していることは既知のとおりだ。社内外を問わず、ユーザーは新たなテクノロジーの恩恵を受けているが、攻撃とのパイプ役も担っている。進化する脅威ベクトルとその背後にいる攻撃者は現在、両方のユーザーに対して攻撃を進化させている。

企業はファイアウォールや侵入検知システムのようなセキュリティ対策を導入することがより上手く出来るようになっているが、今日の攻撃は人々や彼らが使用する変革アプリケーションにより焦点を当てている。より多くのセキュリティシステムを用意したとしても、一般のスタッフが不用意に悪意のあるソフトウェアをインストールしているのであれば、ほとんどの企業でセキュリティ水準は改善しない。

さらに、変革アプリケーションが適切にテストされていない場合、保護デバイスは情報の流出を止めることは出来ない。現状、企業から情報を抽出する最先端の方法はビジネスを変革するために導入されたアプリケーションそのものなのだ。

セキュリティ教育は企業の回復力を大幅に改善させる。単なるメールでの周知だけではなく、Eメールフィッシングテストやインタラクション、テストを組み合わせたプログラムはトレーニングの成功に非常に役立つ。フィッシングやなりすましメール攻撃は今日、情報侵害や情報流出の90%を占めているため、この点は企業のリスクを軽減するための対策として適している。2018年の攻撃の進化については、多くのフィッシングメールで悪意のあるリンクやマルウェアに侵されたファイルが添付されていない傾向が見られる。ハッカーらはより慎重になっており、ソーシャルエンジニアリングの手法をわずかに加えれば、企業への攻撃を実施するための情報を得られることを理解している。

広く知られた情報侵害として、ハッカーらが盗まれたEメール管理者情報を使ってEメールにアクセスを行ったデロイト社のO365移行プロジェクトがある。このインシデントでは従業員のEメールアカウントや顧客とのやり取りが244,000件以上流出した。更に悪いケースとして、Equifax社の情報侵害ではアメリカの人口のおよそ半数の個人情報が漏えいした。捜査は、全ての企業のシステムを最新の状態にしておくことがいかに難しいかを示している。企業は特定のアプリケーションの脆弱性を把握していたものの、ハッカーがそれを悪用する前に問題を解決するリソースがなかった。

これらから得られる教訓は、パートナーやサプライチェーンベンダーを含む企業のデジタルシステム内外の人々を取り巻く進化するリスクを注視すること、そして企業のデジタルトランスフォーメーションプログラムを支えるアプリケーションの検証とテストを行う事だ。

Verizon社のData Breach Report 2018が示すとおり、ウェブアプリケーションは引き続き悪意のある攻撃者が企業情報を窃取するために最も使用する方法となる。ウェブサーバーインフラを含むウェブアプリケーションのペネトレーションテストを独立して行うと共に、ウェブアプリケーションの頻繁なスキャニングを行うべきである。その目的は100%侵入できない状態を作ることではない。悪意のある攻撃者にとって困難かつコストのかかる水準へとセキュリティを高めることで、企業を情報漏えい事例の1つとなることから防ぐことが出来るのだ。

 

サイバー保険に関するお問合せはこちらより送信ください。