2020年 (ISC)² Blog 和訳

2020年9月14日

人事部が企業のサイバーセキュリティを向上させる方法

  • サイバー犯罪はビジネスにとって最大の脅威の一つです。
  •  セキュリティ侵害が発生する可能性は更に高くなり、コストもかかるようになってきています。IBMは、米国でのデータ侵害の平均コストは819万ドル(*1)であると推定しています。英国では、政府が発表した「サイバーセキュリティ侵害調査2019(*2)」によると、3社に1社(32%)が過去12カ月間に攻撃や侵害を受けたことが明らかになっています。
     企業が生産性を向上させ、コラボレーションを強化し、支出を最小限に抑えるために最新のテクノロジーを採用すると、新たなリスクと課題に直面することになります。脅威のランドスケープが変化・拡大しているため、事業全体のリスクが高まっています。サイバー犯罪者もこれらの技術を駆使して悪質な行動を起こしており、これまで以上に巧妙化し、検出が困難になっています。世界経済フォーラムは、毎年恒例のグローバルリスク報告書(*3)の中で、サイバー関連リスクを環境リスクに次ぐトップ10のビジネスリスクの1つに位置づけています。
     企業がこれらのリスクの低減と管理に失敗すると、企業に深刻な影響を与え、ビジネスを混乱させるセキュリティインシデントに発展します。データの損失は、顧客の信頼を失うことで、金銭的なペナルティ、信頼の低下、さらには収益の損失につながります。企業が倒産することもあるほどの被害が出るかもしれません。

  • セキュリティに対する総体的なアプローチ
  •  サイバーセキュリティは従来、IT部門の仕事とされてきましたが、脅威が変化するにつれ、それだけを線引きすることができなくなってきています。これは企業全体の課題となっており、人事担当者はこれを最小限に抑えるために重要な役割を担っています。マルウェア対策とアンチウイルスソフトウェアは不可欠ですが、従業員の意識が低いと、技術的には侵入者を抑止することはできません。
     セキュリティチームと人事部が協働することで、サイバー攻撃に対してビジネスを強化することができます。彼らは組織における「兵士」です。兵士のいない軍隊は軍隊ではありません。熟練していない兵士がいる軍隊は、どんな戦いにも負けてしまいます。サイバーセキュリティはビジネスの戦場です。脅威を低減し、脆弱性が悪用されるのを防ぎ、悪意のある行為者を特定するなど、企業は日々戦いに勝利する必要があります。そして、これらの戦いに勝つためには、熟練したセキュリティの専門家が必要です。
     人事担当者は、従業員のスキルをサイバーセキュリティを網羅したものに更新する必要があります。GDPRやCCPAを考慮してデータ保護対策を強化することで、すでにほとんどの人が最初の一歩を踏み出していますが、データに焦点が当てられていることがほとんどです。組織は、サイバーセキュリティに対する全体的なアプローチに従う必要があります。

  • サイバーセキュリティのパートナーとしての人事
  •  人事はサイバーセキュリティのパートナーとして重要な役割を果たすことができます。人事部は、すべてのスタッフに対する期待を設定することができ、最初の採用プロセスから始まり、従業員の在職期間を通じて、初日から情報セキュリティの重要性を強調することができます。人事部は、ITセキュリティ部門とスタッフの間のパイプ役となり、ポリシーを明確にし、リソースを提供し、あらゆる企業で発生する潜在的な情報セキュリティ問題を認識し、予測するために裏方として働くことができます。最後に重要な点として、人事部は、従業員の全体的なセキュリティ意識の成熟度に関する洞察をセキュリティチームに提供することができます。
     効果的な情報セキュリティを実現するためには、情報セキュリティが標準的なビジネス慣行であることを強調し、組織全体を十分に統合し、関連性があり、魅力的で新鮮な状態を維持する継続的なセキュリティプログラムを実行する必要があります。
     すべてのスタッフに義務付けられている強固なセキュリティ意識向上プログラムを維持することで、従業員が権限を与えられ、非常に重要な機能に関与していると感じられるようになります。
     サイバースセキュリティの専門家は、通常、セキュリティに関連した様々な問題について、多くの課題に直面しています。これらは、強固なサイバーセキュリティポスチャーを維持するために重要ですが、コミュニケーションも同様に重要です。巧妙なフィッシングメールの被害に遭う恐れがある中で仕事を遂行しようとしている労働者のモチベーションを維持し、セキュリティについての警戒心を保つためには、どのようにして新しい革新的な方法を見つけることができるのでしょうか?
     ここが人事の重要なところです。企業のDNAに組み込まれた意識の向上と企業全体のサイバーセキュリティ文化の構築は、怠ってはならない機能の一つであり、経営陣はサイバーに強い組織を構築するための全体的な取り組みの一環として、チームトレーニングを推進しなければなりません。

  • サイバーセキュリティに関する職員研修
  •  すべてのスタッフは、データ保護のルール、ポリシー、プロシージャ、および遭遇する可能性のある特定の脅威を認識するために、サイバーセキュリティのトレーニングを受けなければなりません。サイバーセキュリティのトレーニングは入社プロセスの一部であるべきですが、すべての従業員は定期的に更新情報を受け取る必要があります。
     また、エグゼクティブには従業員や顧客のデータを保護する法的責任があり、規制当局はサイバーセキュリティがボードレベルの問題であることを明確にしており、取締役は違反があった場合に責任を問われることになっています。英国の国立サイバーセキュリティセンターは、サイバーセキュリティは経営者のスキルセット(*4)の一部であるべきだとしており、そのガイダンスでは、「経営者は、財務状況と同様に、IT資産内の主要な脆弱性についても認識しておくべきである」と述べています。

  • セキュリティの専門家のチームトレーニング
  •  テクノロジーや製造業、小売業、航空会社、海運業、金融サービス、ヘルスケア、政府や連邦政府などの組織が、熟練したセキュリティスタッフを求めていることからも、強固なサイバーセキュリティポスチャーを持つことの重要性が浮き彫りになっています。その重要性にもかかわらず、サイバーセキュリティ業界は熟練した人材の不足に悩まされています。実際、2014年の100万人のポジションから2021年までに世界で350万人の未充足のサイバーセキュリティ求人があると予測(*5)されています。しかし、スキルギャップはそれほど解決不可能な問題ではないかもしれません(*6)。
     認定されたセキュリティ実務者を採用するだけでなく、組織のセキュリティチームを育成することで、企業のセキュリティポスチャーを向上させることができます。サイバーセキュリティの専門家が不足している今の状況において、認定とトレーニングを優先させている組織は、重要なスタッフが魅力的に感じ、人材の流出を防ぐことができると考えられます。
     幅広いセキュリティ知識を持つ熟練したプロフェッショナルが、組織にとって最も価値のある資産となりえます。セキュリティに対する理解が深まれば、変化する脅威と技術環境に基づいて正確かつタイムリーな影響評価を行うことができ、ボードが適切な対策を実施するために必要なリソースを配分できるようになり、サイバーに強い組織を実現することができます。全体的なビジネス目標に沿ったセキュリティ対策を実施することで、セキュリティの専門家は、セキュリティリスクを最小限に抑え、組織にさまざまな形で利益をもたらし、顧客やパートナーとの信頼関係の確立を支援することができます。
     チームトレーニングは、予算や独自のサイバーセキュリティ要件に合わせて行うことができるため、組織にとって非常に有益なものとなります。そのため、チームトレーニングは、チームのサイバーセキュリティスキルをシャープに保ち、パートナーやクライアントに信頼性を証明し、トレーニング投資を最大化するのに役立ちます。
     さらに、社内セキュリティトレーニングは、大きなROI(投資対効果)を持つ投資です。人員を多く雇って毎月の支出を増やすよりも、セキュリティのプロフェッショナルを雇って社内研修を行う方がスマートです。あなたが費やすお金は、複雑なセキュリティ問題に対処するための自信を構築するのに役立ち、セキュリティに関する人材の基礎的で汎用性の高いスキルセットを強化するために賢く投資されます。高度な知識を持つセキュリティ専門家の「軍隊」を構築することで、脅威を低減し、侵入される可能性を減らし、莫大な罰則、負債、信頼の低下による収益の損失に直面する可能性を減らすことができます。1回のデータ侵害のコストは、社内チームのトレーニングのコストをはるかに上回っています。

  • (ISC)² がどのように役立つか
  •  情報セキュリティの分野が成長と進歩を続ける中、市場の多くのオープンポジションを埋めるために、より多くの資格を持った労働者が必要とされています。スタッフのトレーニングに投資することは、全体的なサイバーセキュリティの姿勢を強化し、組織をサイバー耐性のあるものにするための戦略的な決定です。
     (ISC)² は、世界中の企業に認められているセキュリティ認証のリーダー的存在です。(ISC)² は、正しい道筋を発見し、計画を作成し、セキュリティチーム全体の標準を確保するためのお手伝いをします。そして、セキュリティに重点を置いたチームを構築するための最良の方法は、(ISC)² Systems Security Certified Practitioner (SSCP)認定資格(*7)を取得することです。
     SSCPは、組織の重要な資産の運用セキュリティを実践的に担当するIT管理者、管理職、部門長、ネットワークセキュリティの専門家に最適です。認定は、セキュリティのベストプラクティス、ポリシー、およびプロシージャを使用してITインフラストラクチャを実装、監視、および管理するための高度な技術的スキルと知識を持っていることを示しています。(ISC)² は、SSCP認証のための社内トレーニングを提供しており、セキュリティ実務家がビジネスの安全を守るために知っておくべきことをすべて網羅しています。
     貴社のビジネスにどのようなメリットがあるかについては、新しいホワイトペーパー(*8)にアクセスするか、エンタープライズ・トレーニング・ソリューション(*9)をご覧ください。

    *1:https://www.ibm.com/security/data-breach
    *2:https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2019
    *3:https://www.weforum.org/reports/the-global-risks-report-2020
    *4:https://www.ncsc.gov.uk/guidance/vulnerability-management
    *5:https://cybersecurityventures.com/jobs/
    *6:https://www.youtube.com/watch?v=4nRxVdA5wr8&feature=youtu.be
    *7:https://www.isc2.org/Certifications/SSCP
    *8:https://www.isc2.org/Landing/sscp-hr-managers?utm_source=isc2&utm_medium=blog&utm_campaign=GBL-SSCPHRManagers&utm_term=Sept14&utm_content=whitepaper
    *9:https://www.isc2.org/Training/Enterprise-Solutions?utm_source=isc2&utm_medium=blog&utm_campaign=GBL-B2Btraining&utm_term=sscphrmanagers&utm_content=training

    原文記事: https://blog.isc2.org/isc2_blog/2020/09/how-hr-can-improve-corporate-cybersecurity.html