個人データのプライバシーと企業リソースの安全性を確保することは、企業のサイバーセキュリティプログラムの主要な2つの目標です。以前の記事では、これらの目標と、プライバシー主導のセキュリティ戦略を追求することの価値とのバランスについて述べました。
この記事では、セキュリティ投資を失敗することのリスクとコスト、そして、セキュリティとプライバシーの責任者が、組織にセキュリティ投資が重要 である理由を説得する上でどのように強力なパートナーとなり得るかについて掘り下げます。セキュリティとプライバシーの責任者が協力すれば、データ漏洩のリスクから組織を保護するのに適したセキュリティツールを見つけ出し、企業にとってどのようなソリューションが正しい選択なのかを判断することができます。
組織のセキュリティとプライバシーの責任者が互いに緊密に連携するのが理想的です。顧客および企業データのプライバシーを守る最善の方法は、効果的なデータセキュリティプログラムを導入することです。
プライバシー責任者は、顧客データ保護のためのセキュリティ対策の価値を認識しています。しかし、場合によっては、セキュリティ責任者がプライバシー責任者に特定のセキュリティ技術の利点を納得させることが難しい場合があります。セキュリティソリューションの仕組みとその目的を明確に理解していなければ、データプライバシーに対するリスクのように見える可能性があります。例えば、フィッシングの試みを阻止するために会社のすべての電子メールをスキャンする電子メールセキュリティツールの導入や、従業員がマルウェアをホストするWebサイトにアクセスできないようにする過程で、従業員がアクセスするWebサイトを会社のITチームが確認できる セキュアなWebゲートウェイの使用をセキュリティ責任者が提案した場合、プライバシー責任者は非常に疑わしいと考える可能性があります。
企業ネットワークのセキュリティ投資を考える際には、組織が保護しようとしている実際のプライバシー損害とは何かを考慮することが重要です。企業のプライバシー責任者は、企業の電子メールをスキャンして「合格」または「不合格」を判定する機械が企業の従業員に与えるプライバシー損害と、そのようなセキュリティ保護を整備しない場合に企業が受ける可能性がある損害を比較する必要があります。セキュリティ保護が整備されていない場合、従業員は簡単にフィッシング攻撃の被害に遭う可能性があります。その結果、その従業員の資格情報を使って脅威アクターが社内システムにアクセスし、企業の顧客の機密性が高い個人データが流出します。
私の考えでは、プライバシー主導の効果的なセキュリティを導入するためには、どのようなプライバシー損害が組織にとって最大のリスクであるかをしっかり認識することが不可欠です。多くの場合、セキュリティ投資のメリットは潜在的なコストを上回ります。上記の例では、世界のほとんどの地域の従業員が企業のシステムに送信する電子メールのプライバシー保護がほとんどないという点に注目すべきです。しかし、企業の顧客の個人データが流出した場合、企業はデータ漏洩を通知する義務を果たしたり、規制当局により罰則が科せられたり、契約上の損害を被ったりする可能性があります。
企業のサイバーセキュリティソリューションは、組織に対するさまざまな脅威に対処するように設計されています。例えば、一般的な脅威の1つはデータ漏洩の可能性で、2023年の平均コストは445万ドルでした。しかし、この数字は情報漏洩の被害を受けた企業への風評被害や、データ漏洩が起こった顧客への影響を見落としています。
保護されていない企業で1年間に発生するデータ漏洩の件数は分かりませんが、推定することはできます。例えば、企業の85%が過去1年間に少なくとも1回のランサムウェア攻撃を受け、データ漏洩の24%がランサムウェアに起因しています。つまり、企業は1年以内にランサムウェア攻撃と非ランサムウェアによるデータ漏洩の両方を経験する可能性が十分にあるということです。
これはあくまで大まかな試算に過ぎませんが、十分に保護されていない企業が負担する潜在的な年間コストは数千万ドル、あるいはそれ以上に上る可能性があることを示していま す。さらに、サイバーセキュリティインシデントが組織の顧客に及ぼす潜在的な影響は、計り知れないものです。大規模なデータ漏洩の詳細を精査すると、そのほとんどがいくつかの根本的なセキュリティ問題によって発生したことがすぐにわかります。脆弱なパスワード、有効期限が切れた証明書、その他の基本的なセキュリティ衛生管理の不備が、大きなセキュリティインシデントの根本原因となっていることが多いのです。これらのリスクを軽減し、マルウェア対策、メールスキャニング、Zero Trustアクセス制御などの最も一般的なタイプのセキュリティ侵害からの保護に役立つサイバーセキュリティソリューションは、企業とその顧客に大きな潜在的メリットをもたらします。
多くの場合、新しいセキュリティソリューションの利点は明確です。それは、サイバー攻撃のリスクを一定の範囲で軽減することです。1回のサイバー攻撃を阻止するだけで、組織には大幅なコスト削減につながります。数字上、サイバーセキュリティソリューションの年間コストが予想節約額を下回っていれば、投資する価値はあります。
しかし、重要 なのは適切なセキュリティベンダーに投資することです。ベンダーが企業のシステムやデータにアクセスするたびに、その企業はベンダーのセキュリティ対策が十分であるかどうかを評価する必要があります。セキュリティベンダーがサイバーセキュリティ攻撃の被害に遭い、その結果、顧客のシステムやデータがリスクにさらされる例はいくつかあります。
最近、Oktaで起こった侵害は、セキュリティベンダーの侵害が顧客に及ぼし得る潜在的な影響を示す代表的な例です。多くの企業がシングルサインオン(SSO)を実装するためのIDプロバイダーとしてOktaを使用しています。Oktaの環境にアクセスすることで、攻撃者はOktaの顧客のユーザーアカウントにアクセスできるようになる可能性があります。侵害を受けた顧客がアクセス保護の追加レイヤーを持たなければ、データの窃取、マルウェアの埋め込み、その他の悪意のある行為を実行するハッカーに対して脆弱性が残ったままとなる可能性があります。
セキュリティ投資のプライバシーリスクを評価する際には、組織のセキュリティ実績や認証履歴を考慮することが重要です。例えば、2020年、中間評価でPCI-DSSに完全に準拠していたのは企業の43.4%のみでした。これは、前の監査から次の監査までの間にセキュリティ管理が甘くなる可能性があることを示しています。
一方、ISO 27001および27018、SOC 2などのオプションの認証を積極的に取得する企業には、自社と顧客をリスクにさらすセキュリティギャップが存在する可能性は低いです。Cloudflareは、必須認証およびオプション認証の順守を維持し、該当する証明書が存在しない1.1.1.1 DNSリゾルバーサービスの独立した監査を進めてきました。また、Cloudflareは、エンドツーエンドの暗号化、データローカリゼーション、Zero Trustアクセス管理などのセキュリティ技術も活用して、ユーザーのプライバシーを最大限に尊重し、地域のデータプライバシー法や規制の固有要件を順守しています。
セキュリティ投資のROIは計算が難しいかもしれませんが、リスクとメリットは明確です。サイバーセキュリティプラクティスが不十分であれば、企業は遅かれ早かれデータ漏洩を経験することがほぼ確定します。その場合、唯一の問題は、その企業を信頼して個人データを預けていた個人への金銭的損害、風評被害、下流損害の規模の大きさです。
データプライバシーとリスク管理の観点からは、セキュリティへの投資は大体が有益です。セキュリティ投資のプライバシーリスクを最小化することで、潜在的なプライバシーメリットが増幅されます。セキュリティおよびプライバシーの責任者は、自社に有利なコストのかかる個人データ漏洩やセキュリティ侵害の証拠を持っている だけでなく、追加のセキュリティ投資を提案するとき、優れたセキュリティ、プライバシー、プライバシー、コンプライアンスの実績を持つソリューションを探すことで、投資の配分を有利な方向へ動かすこともできます。
プライバシー主導のセキュリティは、Cloudflareの理念の中核を成します。当社の信頼ハブは、適用されるすべての規制と基準への準拠を実証するためにさらなる努力をすることで、可能な限り安全性と透明性を確保するという当社のコミットメントを証明するものです。当社の製品は、当社独自のサイバー脅威の可視化と最新のセキュリティ技術を活用し、機密データへのアクセスを最小限に抑えつつ、潜在的な脅威を特定するよう設計されています。Cloudflareを使用すれば、あらゆる場所でセキュリティを簡素化して提供できます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Cloudflareを使用すると、あらゆる場所で統一されたデータ保護が容易になり、より有効性、生産性、俊敏性の高いデータ保護が可能になります。その方法の詳細をご覧ください。
Emily Hancock — @emilyhancock、
Cloudflare最高個人情報責任者
この記事では、以下のことがわかるようになります。
セキュリティとプライバシー間の協力の重要性
セキュリティへの投資不足のコスト
プライバシー主導のセキュリティプログラムのメリット