サイバーセキュリティに関しては、単なる防御よりも回復力がビジネスにとってさらに重要になる場合があります。
もちろん、悪意のある行為者を締め出すことは重要です。しかし、ランサムウェアやその他の形態の攻撃はますます蔓延しており、避けられないものになっています。また、インシデント発生後にデータ システムをオンラインに戻す能力は、攻撃を検出して防御するのと同じくらい重要です。
しかし、IT 環境の準備状況と回復力を本当に知る唯一の方法は、テストすることです。問題は、すべてのテストを実施しているとしても、適切なテストを実施している企業があまりに少ないことです。もちろん、どんなに準備をしても、すべての不測の事態に対処することはできません。しかし、回復力テストに系統的なアプローチを取ることで、組織は迅速かつ安全に回復する能力を大幅に向上させることができます。
これはホッケーチームのトレーニングによく似ています。最初は、プレーが無秩序に見えるかもしれません。選手たちは、自分の個々の動きがチーム全体の流れにどのように貢献するかをすぐには理解しません。しかし、それをプロセスに分解し、練習を通じてそれぞれを完璧にすることで、連携が向上します。そして、チームはますます、より複雑なプレーを実行できるようになります。
状況を理解する
テスト戦略を構築する際、企業は復旧作業を、関連する人材、プロセス、テクノロジーの 3 つのセグメントにマッピングする必要があります。
これらすべてがどのように連携して機能する必要があるかを理解することで、より強力かつ迅速な回復につながります。
-
人々: これらは、できるだけ早く安全な状態に戻るために重要な役割です。これには、調査員、フォレンジックアナリスト、セキュリティ対応チームなどが含まれます。
-
プロセス: 多くの企業では、何らかのインシデント対応計画を策定しています。しかし、インシデント発生時の混乱の中では、こうした綿密に練られたプロトコルがすぐに機能しなくなる可能性があります。そのため、テストが非常に重要です。企業は、セキュリティ チームと IT チームに、机上演習を含む試験運用を実施させる必要があります。そうすれば、問題のある領域を正確に特定できます。また、自動化の可能性がある領域を検出し始めることができます。
-
テクノロジー: 企業は、自社の最も重要な IT システムが何であるかを把握する必要があります。これらは、攻撃、自然災害、その他のインシデントが発生した場合に、最速で復旧して稼働させる必要があるプログラムです。多くの場合、これらはセキュリティ チームには明らかではありません。エンド ユーザーは、最も重要なアプリを特定するのに役立ちます。
「回復」ロールを作成する
現在、復旧作業に専任のスペシャリストがいることはほとんどありません。代わりに、その役割はさまざまな役職に分散しています。あるいは、実際にビジネスをオンラインに戻すことを任されている人がいないこともあります。
それは変えなければなりません。企業が余裕があるなら、データ復旧を監督する専任の担当者を雇うのが最も効果的な選択肢です。この担当者は、社内の従業員と話し合い、彼らの仕事に不可欠な IT ツールが何かを把握することに時間を費やすべきです。そうすれば、企業は必要性に応じてアプリケーションを分類し始めることができます。当然、システムが重要であればあるほど、より迅速に復旧する必要があります。
復旧を専門とする担当者は、起こり得るシナリオを頭の中でじっくり検討する時間を増やすこともできます。そうすれば、復旧をはるかに迅速に行うための適切な対応計画を立てることができます。
しかし、多くの IT チームやセキュリティ チームには、専門家を雇う予算がありません。そのような場合、復旧を監督する責任を誰かの日常業務に加えると、状況が変わる可能性があります。つまり、その個人の作業負荷から、それほど重要ではない他の責任を取り除くことになります。そうしないと、インシデントから会社が立ち直る能力をテストすることに十分に集中できなくなります。
テストを少し改善するだけでも大きな違いが生まれます。テストに数時間費やすだけでも、より迅速かつ効率的な復旧が可能になります。しかし、すべては、既存の脅威の状況を調査し、最もリスクの高い領域を特定し、適切な対応計画を確立する責任者を任命することから始まります。
反復的なアプローチを取る
多くの IT チームには、環境全体をテストするための資金、時間、能力がありません。代わりに、企業は可能なところから始めて、徐々にテスト範囲を広げていく必要があります。
企業は、環境の 20% しかテストできないかもしれません。そのため、最も重要な 20% から始める必要があります。最終的には、企業はこれらのリカバリ テストをよりシームレスに実行できるようになります。その後、他のアプリケーションを徐々に追加できます。すぐに、テストする割合がますます大きくなります。
しかし、企業が IT 環境全体をテストすることはまずありません。実際、100% を目指すこと自体が間違いかもしれません。これは、ほとんどの組織が達成できる目標ではありません。アクティブ ディレクトリなどの重要なシステムをオフラインにする能力は企業にはありません。そうすると、業務に支障をきたします。クリーンルームは、感染したソフトウェアやハードウェアから隔離された安全な独立した空間として設計されており、組織に役立っています。このテクノロジーは、クラウド内に安全なテスト領域を提供します。これにより、日常業務を中断することなくリカバリを実行できます。
最終的には、IT 環境のごく一部でも迅速かつ効率的にオンラインに戻すことができれば、多くの場合は十分です。これは、企業の戦略が健全であり、理想的には、より深刻なインシデントが発生した場合でも拡張可能であることを示しています。
失敗を狙う
直感に反するように聞こえるかもしれないが、企業は実際、少なくとも時々はこうしたテストに失敗することを望んでいる。
いかなる企業も常に完璧を期待することはできません。失敗はギャップを浮き彫りにします。そして最終的には、企業がこれらのギャップを特定して修正すればするほど、最終的に組織の回復力が高まります。
失敗の原因が根本的な問題ではない可能性も高まっています。むしろ、企業がプロセスの自動化を進めていく中で、複雑な問題に遭遇した結果です。多くのセキュリティ機能は、依然として過重労働の専門家による手動タスクに依存しています。しかし、最終的な目標は、ボタンをクリックするだけで完全な復元を実行できるようにすることです。そのためにはトレーニングが必要です。失敗は、組織が完全に自動化されたプロセスに近づくのに役立ちます。
結局のところ、企業が環境の 5% をテストしているか 50% をテストしているかは問題ではありません。重要なのは、テストを開始すること、そして、より広範なテクノロジを継続的に取り込むための信頼性が高くスケーラブルなプロセスを確立することです。