必須の予防: サイバーセキュリティはかつてないほど重要になっています

Sep 21, 2023

アート：OYOW

職場の年金を保護する規制団体である英国の年金規制当局は今年初め、制度の第三者管理者であるロンドンに本拠を置くキャピタ社のデータ侵害により、300以上の年金制度が侵害された可能性があると通告した。 。 参加者のデータは影響を受けていないようですが、調査は進行中です。 Capita は英国の数十万人の年金制度加入者に関するデータを保有しており、侵害の潜在的な影響は重大です。

この攻撃と、3月に米国で起きた退職口座ポータビリティプラットフォームのThe Retirement Clearinghouseに対する別の攻撃は、機関投資家が内部だけでなくベンダーや投資先のサイバーセキュリティに特別な注意を払う必要性を浮き彫りにしている。

サイバー攻撃は増加傾向にあり、資金配分者、投資家、退職金制度はいずれも高額の標的となっています。 攻撃者が組織を標的にする方法も、より洗練されてきています。 場合によっては、攻撃者が誰かを騙して自発的に情報を漏洩させた場合、組織はシステムが侵害されていることさえ認識していない可能性があります。

金融規制当局は増大する脅威に追い付こうとしています。米国では、証券取引委員会と労働省が最近、アロケーター、資産運用会社、ブローカー/ディーラー向けの新しいサイバーセキュリティガイドラインと提案を発行しました。

サイバーセキュリティに関しては、機関投資家は複数のレベルで考える必要があります。 内部的には、組織自体を保護し、脆弱性を最小限に抑えるために従業員を訓練する必要があります。 ベンダー レベルでは、アロケーターは同じベンダーに群がる傾向があり、Capita のように、すべてのベンダーが同時に同じ攻撃に直面した場合、その傾向がアロケーターに不利に働く可能性があります。 最後に、割り当て者は、投資に対するデューデリジェンスの観点からリスクを考慮する必要があります。

ワシントンに本拠を置くインターネットセキュリティアライアンスの社長兼最高経営責任者（CEO）ラリー・クリントン氏は、5月にCIOによるフォーラムで講演し、「これまでのところ、この問題は主に技術的/運用上の問題として誤って分析されている」と述べた。 サイバーセキュリティは「企業全体のリスク管理問題」です。

日常業務では、サイバーセキュリティの実践が中傷されることがよくあります。 覚えておくのが不可能な「強力な」14 文字のパスワードを設定し、コード付きのテキストを受け取り、ロボットに自分がロボットではないことを伝え、最終的にログインを許可されるというプロセスは、誰もが知っていますが、嫌っています。 生体認証の方が簡単かもしれませんが、本当に生体認証データを雇用主に渡したい人がいるでしょうか?

したがって、誰もが最終的にはパスワード、コード、パズル、ログインに戻ることになります。 こうしたことをすべて考慮しても、PwC のデータによると、過去 3 年間にデータ侵害を発生せずにやり遂げた企業はわずか 14% のみです。 サイバーセキュリティ研修会社KnowBe4の戦略責任者、ペリー・カーペンター氏は、問題の多くはサイバーセキュリティへのアプローチにあると語る。

「私たちがしなければならないのは、周りを見回して、これが決して解決された問題ではないことを理解することだけです」と彼は言います。 「私たちの手順の多くは人間の本質に反するものであり、それが人々をオプトアウトしたくなるものです。多くの場合、組織はシステムの定期的な更新とパッチ適用に投資されていないため、組織が脆弱になります。パッチ適用に重点を置き、人間的な問題に取り組む場合は、このレベルであれば、攻撃の 90% を防ぐことができます。」

カーペンター氏によれば、「人間レベル」での作業には、フィッシングメールに注意するよう人々に思い出させる基本的なサイバーセキュリティトレーニング以上のものが含まれます。 また、人々がシステムにアクセスするさまざまな方法を検討し、その環境をできるだけ簡単に保護できるようにすることも含まれます。

「人々の上に段差を重ねると、人々はその段差を回避する方法を探すようになるでしょう」と彼は説明する。 「一度見つけたら、彼らは喜ぶでしょう。しかし、彼らはあなたのシステムの脆弱性を発見したばかりでもあります。おそらく、敵対者もそれを発見しているか、発見するでしょう。」

カーペンター氏は、技術者は新しいテクノロジーがすべてを解決すると考える傾向があると付け加えた。 サイバーセキュリティ担当者は、最新のセキュリティ技術を導入することに重点を置くかもしれませんが、それは古いシステムが静かに時代遅れになり、デジタル攻撃者にとって新たな侵入ポイントが生まれることを意味します。 「パッチ適用は重要な実践です。パッチ適用に必要なのは 1 つのエントリ ポイントだけであり、システムが侵害される可能性があるからです」とカーペンター氏は言います。 「新しいシステムがそれをキャッチしてくれることを期待するかもしれませんが、手遅れになるまで気付かないことがよくあります。」

クリントン氏は、その団体が全米企業取締役協会と協力して世界の企業取締役会向けにサイバーリスクに関するガイダンスを発行しており、「取締役会は全社的な観点からサイバーリスクを検討し、潜在的な法的影響を理解すべきである。取締役会は議論すべきである」とアドバイスした。サイバーセキュリティのリスクとその備えを経営陣と共有し、組織全体のリスク許容度の観点からサイバー脅威を検討してください。」

ベンダーにとって、プロセスとパッチ適用も同様に重要です。 アロケーターは、提携している企業にサイバーセキュリティへのアプローチについて尋ねるべきです。 コンサルタント会社セルリ・アソシエイツの米国制度業務担当アソシエートディレクター、ジャック・タンポジ氏は、サイバーセキュリティは最も頻繁にアウトソーシングされるサービスの1つであり、サイバーセキュリティベンダーはコンプライアンスや規制問題についてのアドバイスも提供していると述べた。 これは、割り当て担当者が、管理者や他のサードパーティ ベンダー (Capita など) がサイバーセキュリティを外部委託しているかどうか、外部委託している場合はそのプロセスがどのようなものかを尋ねる必要があることを意味します。

Global PayTech Ventures の共同創設者であり、Future Today Institute の上級顧問でもある Kristopher 'Kriffy' Perez 氏は、最近、ベンダーにデュー デリジェンスを適用することが何を意味するかを直接体験しました。 ペレス氏は、Future Today での仕事を通じて投資家の観点からサイバーセキュリティについてアドバイスし、Global PayTech Ventures での仕事を通じて金融サービス会社への投資も行っています。

ペレス氏は最近、敵対者が電子メールでシステムにアクセスし、投資チームのメンバーになりすましたことを受けて、グローバル・ペイテック社のサードパーティ・プロセスを全面的に見直した。 攻撃者は、自分自身を Global PayTech の銀行の連絡先として追加するところまで近づき、偽のパートナー電子メール アドレスを作成して、全員が参加しているかのように見せかけました。

ビジネスメール侵害と呼ばれるこのタイプの攻撃は、検出が難しく、誰かが侵害に気づく前に攻撃者への電信送金に成功する可能性があるため、投資家や金融会社をターゲットにすることがよくあります。 投資家のために働いていると思われる人物によって自発的に許可されたものである場合、これらの送金を取り戻すのは困難です。 ペレス氏の場合、攻撃は金銭の授受が行われる前にサードパーティのセキュリティ システムによって捕捉されましたが、ベンダーとの関係に関する内部調査につながりました。

「捕まったから二度と起こらないと誰かが言うと、『わかった、でもこれはかなり手の込んだ攻撃だった』と言うだろう」と彼は言う。 「私たちは、保護の複雑さを高めるために何ができるかを検討する必要があると感じました。」

ペレス氏のスタッフはまた、スタッフが同じ認識を持っているかどうかを確認するために、同社の銀行が提供する詳細なサイバーセキュリティトレーニングプログラムも受講しました。 「プロセスを強化する何かが起こるとチャンスが訪れる」とペレス氏は言う。 「人々はもっと気にかけていて、自己満足ではありません。」

サイバーセキュリティ プログラムの中核となるのはコンプライアンスです。 これがなければ、適切な保護が整備されていない場合、投資家は投資の失敗や受託者問題に直面する可能性があります。

法律事務所リード・スミスの技術・データグループのパートナー、ジェリー・ステグマイヤー氏は、受託者の観点から、サイバーセキュリティの監督を運用することが重要だと語る。

「サーバールームから取締役会までの距離は非常に短くなり、投資家から規制当局に至るまで誰もが、サイバーセキュリティは簡単に実行できるものではなく、重要なガバナンス問題であることに気づき始めている」と同氏は述べた。

クリントン氏の発言も同様の点を強調した。 同氏は、取締役会が「サイバーセキュリティはIT中心の付属問題ではなく、むしろ企業全体のビジネス上の意思決定に完全に組み込まれる必要がある」ことを理解することが重要だと述べ、「取締役会は経営陣に期待すべきである」と付け加えた事業計画に沿って経験的かつ経済的な観点からサイバーリスクを評価できるようになります。」

そのためにステグマイヤー氏は、投資家は、自社のプロセスやベンダーのプロセスを検討する場合でも、潜在的な投資に精力的に取り組む場合でも、サイバーセキュリティ プログラムの正式な導入を模索する必要があると述べています。 そのプログラムを定期的にベンチマークします。 また、情報セキュリティを管理するための国際規格である ISO/IEC 27001 などの特定の規格への準拠を求めます。

「サイバーセキュリティ プログラムの再現性、持続可能性、実証可能性を確認できるようにしたいと考えています」と彼は言います。

この枠組みは、たとえ割り当て者が特定の企業に直接投資を行うのではなく、投資ファンドのリミテッドパートナーになることだけを検討している場合にも適用されるべきである。

「多くの場合、資産運用会社がファンドのサイバーセキュリティにどのように取り組むかは、ポートフォリオ企業やその他の投資において下流でどのようにサイバーセキュリティを行うかに代わるものです」とステグマイヤー氏は説明する。

このようなプロセスを導入することは、受託者のリスクを軽減するのにも役立ちます。

「完璧なセキュリティは存在しません」とステグマイヤー氏は言います。 「そのため、何かが起こったときにどれだけ早く対応できるかという回復力に注目する傾向があります。しかし、それを行うと、予防、検出、修復への対応への投資が過少になることをプログラムに組み込むことになります。」 「他の方法で簡単に防ぐことができる事件が、今後さらに多く起こるだろう。そして、法的な観点から見ると、あなたのパフォーマンスが不適切であるとみなされる可能性がはるかに高い。」

タグ: Cerulli Associates、サイバーリスク、サイバーセキュリティ、データ侵害、労働省、Gerry Stegmaier、Global PayTech Ventures、Internet Security Alliance、Jack Tamposi、KnowBe4、Larry Clinton、全米企業取締役協会、ペリー・カーペンター、リード・スミス、証券、為替委員会、特別報道: リスク管理、年金規制当局、退職手形交換所

« 日本の GPIF の論文は、オルタナティブ資産と伝統的資産を比較する新しい方法を提案