解説

サイバーセキュリティのリーダーは、デジタル脅威の複雑な状況を乗り切るためのツールと戦略を常に模索しています。しかし、最高情報セキュリティ責任者 (CISO) は、デジタル資産を保護する責任を一貫して負っているにもかかわらず、管理手段の明らかな欠陥に長い間取り組んできました。CISO には、業務全体を把握しながら全体像を把握するための監督が欠けています。重要なものに素早くズームインできます。

米国国立標準技術研究所のサイバーセキュリティ フレームワークの最初のバージョンは、大統領大統領令 (EO 2014、 重要インフラのサイバーセキュリティの向上) 重要なインフラストラクチャ組織がサイバーセキュリティ リスクを軽減できるよう支援することを目的としています。この命令は、NIST に対し、業界および政府の関係者と協力して、既存の基準、ガイドライン、慣行に基づいた自主的な枠組みを作成するよう指示しました。の サイバーセキュリティフレームワーク2.0 従来の5つの基本機能を拡張（識別する, 守ります, 検出, 反応します, 回復する) 新しく追加された機能について説明します。 支配する.

CISO にとって不可欠な存在

ガバナンス機能の導入は、効果的な管理が CISO の役割の不可欠な部分であるという業界の重要な認識を意味します。実際的には、ガバナンス機能は CISO のツールキットの重大なギャップを埋め、より包括的な管理アプローチを可能にします。これまで、CISO は、机上で飛び交う重要な質問や懸念事項に対処する際に課題に直面しており、効果的に管理する能力にギャップが生じていました。彼らは、ポリシーをどの程度施行しているか、進捗しているか、最新の投資が全体的なパフォーマンスに重大な影響を与えているかどうかについて答える方法がありませんでした。

たとえば、特定の脅威に対する準備のレベルはどの程度ですか?現在、ポリシーの適用と制御の健全性をチェックするのは、脅威がトレンドになっているという噂によって動かされることがあまりにも多いです。これは事後対応的なアプローチであり、結果が出るのが遅すぎる可能性があります。よりプロアクティブなアプローチとは、セキュリティ リーダーがさまざまな制御やプログラムのパフォーマンスを継続的に可視化し、ポリシー違反があればすぐに兆候を簡単に得ることができることを意味します。現在、さまざまな製品所有者からこれらのデータ ポイントを収集するプロセスは非常にイライラするため、ほとんどの CISO は単純にあきらめて、データ ポイントなしで生活しています。しかし、脅威が彼らのドアをノックした瞬間に、彼らはこのデータを緊急に追跡するでしょうのでご安心ください。たとえ手遅れだったとしても。

新製品の調達プロセスも、効果的な管理が制限されている例の 1 つです。たとえば、CISO が新しいコード保護ツールを購入すると、チームにレポートを提出する時間を割り当てるように依頼しない限り、その登録を確認する簡単な方法はありません。パフォーマンスはさまざまな測定値のグループです。ツールは適切にスキャンしていますか?関連する環境をすべてカバーしているのでしょうか?平均解決時間 (MTTR) は十分ですか?ほとんどのイベントは自動で処理されますか、それとも手動で処理されますか?チームは未解決の課題に直面していますか?

コード保護は、脆弱性の世界における幅広い機能のうちの 1 つのツールにすぎないことを考慮してください。これに、複数のプログラムにわたる数十のツールと質問を掛け合わせます。管理プロセスが不十分な場合、組織は数十か月と数時間の労力を費やします。簡単に再現したり拡張したりすることはできません。

経営幹部に透明性と可視性を与える

この運用面の可視性の欠如は、CISO が基本的に暗闇の中で管理していることを意味し、情報に基づいた意思決定と戦略計画を困難にしています。彼らには、多くのツール、多くのサイロ化されたデータの物語、そしてより広範な物語を語るためにパズルを組み立てなければならないすべてのピースが残されています。

NIST CSF 2.0 の Govern 機能はこれらの欠点に直接対処し、効果的な管理のためのフレームワークを提供します。政府が CISO に管理上の役割を与えるためには、いくつかの重要な属性を具体化する必要があります。

まず、透明性が最優先され、CISO が管理の実施状況を把握し、ツールごとではなく全体的なストーリーと傾向としてセキュリティ対策によって提供される保護レベルを評価できるようにする必要があります。たとえば、CISO オフィスは、多要素認証 (MFA) を持たず、フィッシング トレーニングに失敗し続けるユーザーは企業電子メールからブロックされるという新しいポリシーを定義します。ポリシーが施行されているかどうかを確認するには、CISO は 2 つの異なるツールからの継続的な傾向データ ポイントを必要とし、これらのポイントを継続的に関連付ける必要があります。

第 2 に、この知恵の層は、スプレッドシートに基づくのではなく、自動化されたメトリクス システムによって駆動される必要があります。このシステムは、さまざまなツールやプログラムに関連するさまざまな言語や測定を超越し、専門用語に迷うことなく総合的なアプローチを保証します。

第三に、複雑なセキュリティ スタックを取締役会が理解できる用語に翻訳する簡単な方法が必要です。これは、予算の制約の中で継続的な投資を正当化するという CISO のニーズの高まりに対処します。

最後に、パフォーマンスのリアルタイムかつ継続的な監視が不可欠です。これにより、ポリシー施行の傾向を永続的に把握できるようになり、CISO が事後対応だけでなく積極的にサイバーセキュリティ対策の管理と強化を行えるようになります。スプレッドシートは静的な瞬間であり、操作可能ではありません。 Monday.com がプロジェクト マネージャーに対して行ったように、CISO は管理の合理化と自動化に向けて大きく前進する必要があります。

本質的に、ガバナンス機能とは、CISO にとって効果的な管理が単なる期待ではなく必須であるという認識です。 CSF 2.0 により、CISO は第六感を獲得し、新しい種類の知識と洞察を用いてサイバーセキュリティ業務をより適切に統治、管理、測定し、プロアクティブで情報に基づいたリーダーシップの新時代を導きます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cybersecurity-operations/ciso-sixth-sense-nist-csf-2-govern-function