KPMGのパートナーであるIndy Dhamiが、サイバーレジリエンスからどこから始めればよいかを説明

従来の情報セキュリティからサイバーレジリエンスへの移行は、単なる進化ではなく、革命です。  

今日のサイバーセキュリティの焦点は、単に資産を保護することから、絶え間なく高度な脅威に直面してもビジネスを継続できるようにすることに移行しています。このレジリエンスの考え方は、企業がサイバー脅威から防御するだけでなく、迅速に立ち直り、新たな課題に適応するのに役立ちます。  

ポッドキャスト「The Segment: A Zero Trust Leadership」の最新エピソードでは、KPMG UKのパートナーであるIndy Dhami氏に話を聞きました。過去20年間の業界の進化、サイバーレジリエンスがこれまで以上に重要になっている理由、ゼロトラストセキュリティイニシアチブに企業の賛同を得る方法を解き明かしました。

インディ・ダミ、KPMG UKパートナーについて

サイバーセキュリティ業界で20年以上の経験を持つインディは、KPMG UKのパートナーとして豊富な経験を活かしています。彼の旅は、2000 年代初頭に建築家事務所で IT を管理することになり、そこでサイバーセキュリティに興味を持つようになりました。

インディのキャリアは、グローバルに認定された情報セキュリティ管理システムの構築に貢献したときに転換点を迎えました。彼はさらに専門知識を磨き、ヨーロッパ内外で大規模なセキュリティ変革プロジェクトを主導しました。KPMGに入社する前は、サイバー企業に投資するシンガポールの政府出資企業で働いていました。  

KPMGでは、インディはデジタルトランスフォーメーションのリーダーであり、さまざまなセクターを新たな脅威から守るための革新的な戦略を推進しています。彼はキャリアのメンタリングとコーチングに情熱を注いでおり、本物のリーダーシップを通じて前向きな文化的変化を促しています。  

サイバーセキュリティの意識問題をレジリエンスで解決

Indy がサイバーセキュリティに携わり始めたとき、サイバー攻撃に対する緊急性の欠如と、壊滅的な侵害に発展する可能性を覚えています。  

ある時点で、彼は会社の経営陣と危機シミュレーション演習を実施しましたが、彼らは組織で攻撃が発生するとは考えていませんでした。「そのようなことはしばしば考慮されませんでした」とインディは説明した。

それでも、ニュースでサイバー攻撃が蔓延していると、サイバー攻撃が日常的なものであるという認識が生まれ、その真の影響が影を落としていることが多いと彼は考えています。  

「物事は十分に報道されていません」とインディは語った。「したがって、一般の人々は、サイバーセキュリティがなぜそれほど重要なのかについて、まだ『ああ』という瞬間を持っていません。」

この一般の意識のギャップにより、 サイバーレジリエンスの 必要性がこれまで以上に重要になっています。侵害に対する今日の一般の認識と、侵害を防止または検出するために使用してきた従来のツールだけでは十分ではありません。すべての侵害を阻止することが不可能な場合、組織は侵害が発生したときに阻止できるよう積極的に準備する必要があります。  

サイバーレジリエンスからどこから始めるか:リスク選好度と許容度

だからこそ、サイバーレジリエンスが非常に重要です。「今、サイバー攻撃はニュースで1回、2回、3回目にするかもしれません」と彼は言いました。「それはより蔓延しており、人々はそれに関するより困難な質問をセキュリティリーダーに尋ねています。」

従来の情報セキュリティからサイバーレジリエンスへの移行は、ゲームチェンジャーです。もはや単に問題を解決するだけではなく、危機時に業務を維持することが重要になります。  

「レジリエンシーとは、サイバーレジリエンスだけでなく、運用上のレジリエンスでもあり、予期せぬことがすべて起こったときでも、どのように機能し続けることができるかということです」とインディ氏は語った。

これは、サイバー攻撃による混乱に耐えられるインフラストラクチャの緊急の必要性を浮き彫りにしています。サイバーインシデントが頻発するにつれ、セキュリティリーダーは堅牢なレジリエンス戦略を策定するよう迫られています。  

では、組織はどこから始めればよいのでしょうか?ゼロトラスト戦略は、サイバーレジリエンスに向けて取り組むための最良の方法の1つです。ゼロトラストは、「決して信頼せず、常に検証する」というモットーに基づいた、世界的に検証された戦略です。これは、 ゼロトラストセグメンテーション(ZTS)とも呼ばれるネットワークセグメンテーションを中核として、組織が侵害に積極的に備えるのに役立ちます。

ゼロトラストを構築する際には、次の 2 つの質問をすることをお勧めします。

1. サイバーセキュリティに関してのリスク選好度は?

2. その許容範囲内にあるか外れているかを判断できるデータポイントは何ですか?

Indy の経験では、これにより、ビジネス リーダーは、ビジネスで何が最も重要なのか、最初に何を保護する必要があるのか、そしてそこに到達するためにどのような種類の情報とツールが必要かをより明確にすることができます。

サイバーセキュリティをチームスポーツのように扱う

インディ氏はまた、政府のサイバーセキュリティの義務とガイドラインが、公共部門と民間部門の両方の組織がレジリエンスの目標を達成するのにどのように役立つかを強調しました。  

CISAのゼロトラスト成熟度モデル(ZTMM)やEUのDORAおよびNIS2義務などの米国連邦ガイドラインは、あらゆる規模や業界の組織に段階的なガイダンスとベストプラクティスを提供します。  

Indy がこれらのドキュメントで確認する重要な要件は、ネットワークとワークロードのトラフィック フローをリアルタイムでエンドツーエンドで可視化することです。

「環境内の物がどのように相互作用するかを本当によく理解することから始める必要があります」と彼は説明しました。「しかし、すべてのサプライヤーと上流および下流の依存関係は、システムレベルでどのように相互作用するのでしょうか?」この情報により、チームはネットワークの露出を理解し、適切なセキュリティ制御を実施できるようになります。

ネットワークのインフラストラクチャを深く掘り下げるということは、組織全体のチームを巻き込むことを意味します。インディにとって、ナビゲーションを成功させるには、セキュリティを「チームスポーツ」に変える必要があります。協力的なアプローチを採用することで、レジリエンスが促進され、サイバーセキュリティの取り組みが組織全体の目標に合わせられます。

ゼロトラストをビジネス目標に結び付ける方法

Indy の観点から見ると、ゼロトラスト戦略は、セキュリティ リーダーがサイバーがビジネス目標とどのように一致しているかについて、より良いストーリーを伝えるのに役立ちます。  

「重要なのは、シーンを設定し、正しい方法で組み立て、取締役会レベルのリーダーの共感を呼ぶことです」とインディは説明しました。    

ゼロトラストは、セキュリティを技術的制御の領域から取り除くため、 サイバー賛同 を得るのに役立つフレームワークです。  

Indy は、セキュリティ リーダーがチームのイニシアチブとニーズを提唱する際に、次のアプローチを採用することを推奨しています。

• 常にビジネスの目標から始めてください。 「ビジネス戦略を手に取り、年次報告書を手に取り、ビジネスが何をしようとしているのかを理解し、それをセキュリティ計画に重ね合わせます。」

• ゼロトラストの原則を戦略的ツールとして使用する: 「ゼロトラストが戦略的柱を使用して [会社] をどのようにサポートできるかを説明してください。」

• テクノロジーを最後に取っておきます。 「次に、これらの各ポイントを実現するために必要なテクノロジー制御に取り組み始めることができます。」

The Segment: A Zero Trust Podcastを聞いたり、購読したり、レビューしたりする

もっと詳しく知りたいですか?インディのエピソード全文は、当社のウェブサイト、Apple Podcasts、Spotify、またはポッドキャストを入手できる場所でお聴きください。エピソードの全文も読むことができます。

ゼロトラストに関するさらなる洞察を近日中にお届けします。