オーストラリアの新たな役員会議室の基準：ASDとAICDのセキュリティに関する5つの新たな優先事項

過去2年間、オーストラリアでは取締役会を震撼させるサイバー攻撃の波が続いた。

医療機関、通信大手、保険会社、さらには政府機関までもが、高度な情報漏洩の標的となり続けており、その多くが一面を飾るニュースとなっている。  

各インシデントが発生するたびに、サイバーセキュリティは IT の問題であると同時にガバナンスの問題でもあるというメッセージが強まっています。

この緊急性から、オーストラリア通信信号局 (ASD) とオーストラリア取締役協会 (AICD) は、「取締役会向けサイバーセキュリティ優先事項 2025 ～ 2026」を発表しました。  

このガイダンスはオーストラリアの組織を念頭に置いて作成されましたが、その関連性はオーストラリアの国境をはるかに超えています。対処するサイバー脅威、規制圧力、ガバナンスへの期待は世界規模です。このレポートで概説されているガイダンスは、あらゆる場所におけるサイバーレジリエンスのベースラインを示しています。

このレポートの内容、それが重要な理由、そして Illumio が組織をレポートのガイダンスに準拠させるのにどのように役立つのかを詳しく説明します。

取締役会向けサイバーセキュリティ優先事項ガイダンスが今なぜ重要なのか

オーストラリアの脅威環境はこれまで以上に不安定になっています。  

ガイダンスによれば、2023～24年度にはスパイ活動だけで経済に125億ドルの損害が発生しており、サイバー犯罪は業界全体で、特に大企業で増加し続けています。

変わったのは、上層部がリスクをどう認識しているかです。取締役には、組織のリスクを理解し、鋭い質問をし、予防にとどまらない戦略に投資することが求められています。  

新しいベースラインは、侵害を想定し、侵害の封じ込めに重点を置くことです。

量子コンピューティングへの準備など、一部のガイダンスは未来的に感じられます。しかし、中心となるメッセージは、今すぐに基礎をマスターすることです。

サイバーレジリエンスとは、可視性を向上させ、レガシーシステムを保護し、横方向の移動を抑制し、最も脆弱なエントリポイントであるサプライチェーンを管理することで、今すぐにリスクを制御することです。

報告書における主要なサイバーセキュリティの優先事項

ASD および AICD ガイダンスの 5 つの取締役会レベルの重点分野の概要は次のとおりです。

1. セキュア・バイ・デザインとセキュア・バイ・デフォルト技術

セキュリティは、後から追加するのではなく、最初から組み込む必要があります。取締役会は、自社が使用し顧客に提供する技術がこの基準を満たしているかどうかを問うことが求められます。

2. 重要な資産の防御と妥協を前提とした考え方

今日の脅威の状況では、すべての攻撃者を阻止できる組織は存在しません。むしろ、攻撃者が侵入することを前提として、最も重要なシステム、アプリケーション、データなどの重要な資産を保護することに重点を置くことが重要です。

3. 堅牢なイベントログと脅威検出

組織は、ベースラインとして企業全体の可視性とリアルタイム検出を必要とします。しかし、さらに重要なのは、検出結果をすぐに行動に移せるようにする必要があることです。これは、高度な侵害のスピードに対応できる、自動化とAI を活用したソリューションの増加を意味します。

4. レガシーITリスク管理

サポートされていない、またはパッチが適用されていないシステムは攻撃対象になりやすく、他の重要な資産に到達するための拠点となります。報告書は、取締役会に対し、可能な場合はレガシー IT を置き換えるか、強力な補償管理を導入するよう促しています。

5. サイバーサプライチェーンリスク監視

サードパーティのアクセスは、ほとんどの組織にとって最もリスクの高い領域の 1 つです。取締役会は、どの人物とシステムがどこにアクセス権を持っているか、またそれがセグメント化され監視されているかどうかを把握する必要があります。

報告書では量子の脅威が強調されているが、ほとんどの組織はまだ従来の非対称暗号を置き換える準備ができていない。  

それでも、このガイダンスでは、取締役会に対し、量子暗号への移行に向けた準備を開始するよう促している。これは、今日収集されたデータが明日には解読されるという、サイバーセキュリティリスクの将来への認識を反映しています。

優れたサイバーガバナンスとは

5 つの重点分野に加えて、このガイダンスには、取締役会が尋ねるべき次のような数多くの実践的な質問も含まれています。

• 「まだ廃止できないレガシーシステムに対する補償制御はありますか?」
• 「リスクに基づいてサードパーティベンダーのアクセスをセグメント化していますか?」
• 「当社の検出システムは最も重要なことを優先していますか？」
• 「観測可能性や侵害封じ込めといった基礎を強化しつつ、量子暗号のような新たな脅威への備えも進めているでしょうか？」

これらの質問は、期待の変化を反映しています。つまり、サイバーセキュリティは現在、取締役会レベルの責任となっており、ガバナンスもそれに応じて進化する必要があります。

Illumio が取締役会向けサイバーセキュリティ優先事項ガイダンスにどのように準拠しているか

Illumio では、AI を活用したセグメンテーションとセキュリティの観測可能性を提供することで、オーストラリアおよび APJ 地域全体の組織が自信を持ってこれらの優先事項に対応できるよう支援します。

Illumio がレポートの取締役会レベルのガイダンスに直接どのように対応しているかは次のとおりです。

1. 設計段階からセキュリティを確保：マイクロセグメンテーションと最小権限アクセス

Illumio Segmentation は、データ センターとクラウド全体で最小権限のアクセスを強制します。これにより、アーキテクチャが設計上安全であることが保証されます。  

侵害が拡大する前にそれを阻止し、重要な資産を保護し、ASD の情報セキュリティ マニュアル (ISM)、 Essential Eight 、 Zero Trustなどのフレームワークの原則を満たすことができます。

2. 「侵害を想定」した重要資産の保護

Illumio を使用すると、ワークロードの通信方法を視覚化し、リスクの高い脅威のパスを特定し、最も重要なシステムを他のシステムから分離する適用ポリシーを適用できます。これにより、攻撃を迅速に封じ込めることができ、「侵入を想定」することが恐怖ではなく戦略になります。

3. AIを活用した実用的なイベント検出

ツールが多すぎるとアラートも多すぎて、アラート疲れや焦点の見当違いにつながります。  

Illumio Insights を使用すると、異常を検出するだけでなく、有害な組み合わせを強調表示し、段階的な修復アクションを提供する AI を活用した可観測性が得られます。

つまり、脅威の検出はアラートだけで終わるわけではありません。これにより、ネットワークを介した脅威の拡散を自動的に阻止できる、AI を活用した実用的な洞察が得られます。

4. 仮想エアギャップによるレガシーITの分離

レガシー システムは多くの場合、最も弱いリンクであり、廃止するのが最も困難です。  

Illumio は、再設計することなくレガシー IT を分離する迅速かつ効果的な方法を提供します。アプリケーションやネットワークに触れることなく、アクセスを厳密に制御し、動作を監視し、セグメンテーションを適用できます。

これは、Illumio がお客様の組織のリスクを即時に軽減できるよう支援できる多くの場面の 1 つです。

5. サプライチェーンアクセスのセグメンテーションと監視

取締役会はサードパーティのリスクが盲点であることを認識しています。Illumio を使用すると、ポリシー制御を実施し、ベンダーと内部システム間のすべての通信を監視しながら、サプライヤーのアクセスを必要なものだけに制限できます。

サプライヤーが侵害を受けた場合でも、セグメンテーションにより、サプライヤーが攻撃者のゲートウェイになることを防止できます。

オーストラリアのサイバーガバナンスの新たな基準

ASD と AICD は、実際の侵害、脅威レベルの上昇、そしてサイバーセキュリティ戦略が積極的かつ効果的であることを証明するよう取締役に求める圧力の高まりに対応して、このガイダンスを公開しました。

このレポートは、サイバーセキュリティの基礎がこれまで以上に重要であることを証明しています。

• 環境全体で何が起こっているか確認できますか?
• 重要なシステムを分離できますか?
• 侵害が拡大する前に阻止できますか?

Illumio は、コンプライアンスを超えた実用的な成果をもたらすセグメンテーションと観測可能性によって、「はい」という答えを導き出すお手伝いをします。

最新のガイダンスに従ってサイバーセキュリティ戦略を調整する準備はできていますか? Illumio Insightsを無料でお試しください 今日。