【全米防災月間】脅威警告の統合と対応の最適化： 防災を最大化する戦略(パート2)

全米防災月間の2週目に突入し、脅威に対する万全の備えが重要であると再確認しました。単に脅威の兆候を観測する力が不足しているわけではなく、複数の脅威を結びつけ、タイムリーに一貫性を持ちながら正確に対処する能力が不足していると考えています。

本ブログのシリーズパート1の記事をまだお読みでない方のために、ここで「防災」を再定義します。「防災」とは、災害や危機に先立ち、対応能力の計画、調整、組織化、および評価を積極的かつ継続的に行うことです。また、「防災」には、部署やセクターを超えた協働が不可欠です。

これまで、技術チームはツールやダッシュボードに、行政指導者は予算や高レベルの指令に焦点を当ててきました。これらは重要ですが、社会としてさらに踏み込む必要があります。なぜなら、市民にとって重要なのは水道が安全であり、電力が途絶えず、そしてバスが定刻通りに運行されることだからです。

つまり「防災」とは、警告が「赤」になる前にそれらを察知することなのです。技術的、手続き的、財務的、社会的な全ての領域（ドメイン）にわたる警告を捉え、説明責任のレベルを割り当て、それに応じて他者と連携して行動することです。一言で言えば、「防災」とは統合を意味します。

誰もが「防災」の役割を担っている

自治体にとっての課題は、往々にして調整業務（オーケストレーション）です。これは、民間か公共かを問わず、あらゆる組織に当てはまります。

業界を問わず、脅威管理における最大の問題は単一の部署に属し、特定のチームに割り当てられ、一組のツールで処理されるような単純なものではない点です。

これらはそれぞれが警告であり、それぞれが潜在的な影響を複合的に増大させます。しかし、一つの警告が全体像を語ることはありません。公共部門にとってのリーダーシップとは、市民にサービスレジリエンス（回復力）への脅威があったことすら知られることなく、点と点をつなぐことです。

「防災」はミッションと目標から始まる

防災のプロジェクトに着手する前に、いくつかの目標を検討することが重要です。

目標はミッションステートメントから生まれ、目的を形作り、行動に方向性を与えます。防災憲章のためのシンプルなミッションステートメントは、次のようになるでしょう。

「このプログラムの使命は、部門、セクター、企業、コミュニティにまたがる強固で実行可能な『防災の基盤（preparedness fabric）』を構築し、重要なサービスの質、信頼性、適時性、レジリエンスを同時に保証することである。」

目標設定に役立つツールとして、GQM（Goal-Question Metric：目標-質問-測定基準）アプローチがあります。その有効性はシンプルさから生まれます。勢いをつけるには、カンバン（Kanban）アプローチを使って他のチームと協力しましょう。このプロセスは、仮想的にも物理的にも可能であり、関与を促します。

GQMがどのように機能するかを示すために、次の例を考えてみましょう。

士気を高めるためにも、価値を証明し、時間とともに増幅する高速度で持続可能な勝利を得るために、達成しやすい目標（low-hanging fruit）から始めることが非常に重要です。これはチーム間の信頼を生み出します。

この考え方は、チームにさらなる測定基準システムを課すことではなく、実際の進捗が生じており、それが今後の道筋をさらに明らかにしていることを証明することにあります。

主要脅威指標（KRI）を理解する

主要脅威指標（KRI）とは、組織やチームに対し、ある事象や状況に関連したシステムやプロセスの前条件（pre-conditions）や後条件（post-conditions）を警告するデータポイントです。さらに、KRIはコンテキストで豊かになることで、より有効になります。

条件は肯定的または否定的である可能性があります。防災には、まず先行指標（leading indicators）と遅行指標（lagging indicators）を区別することが必要です。

リーダーが遅行指標（停止後、訴訟後、市民の反発後）のみを見ていると、公共の信頼を強化する機会を逃します。

積極性（プロアクティビティ）は受託責任（スチュワードシップ）と同義であり、反応性（リアクティビティ）はそれを損ないます。より良い防災のために、州および地方自治体機関は、脅威スペクトル全体とRACIマトリックス全体にわたる透明性を確保しなければなりません。

先行脅威指標を深く掘り下げる

前述の通り、先行KRIとは、前条件、つまり放置すればインシデントにつながる可能性のある事柄を警告するものです。現在の文脈では、これらは防災の事象を引き起こす可能性のある指標です。

先行脅威指標の例としては、以下のようなものが挙げられます。

要するに、先行指標とは事象（イベント）です。

既存のシステムがサイバー事象を侵害の痕跡（IoC）としてフラグを立てる場合、影響を限定したり、潜在的な爆発範囲を縮小したりするために設計された**多層防御（DiD）**がサービス提供チェーン内にない限り、インシデントが差し迫っている可能性があります。

防災は先行指標への注意を要求します。さもなければ、遅行指標とそれらが引き起こす無数の社会的結果に苦しむことになります。

遅行脅威指標を深く掘り下げる

多くの人が遅行指標の痛みを経験してきました。

要するに、先行指標とは事象です。既存システムがサイバー事象を侵害の兆候（IoC）として検知した場合、サービス提供チェーン内に影響を限定または潜在的な被害範囲を縮小する多層防御（DiD）が設計されていない限り、インシデントが差し迫っている可能性があります。

常に社会的結果に点と点をつなぐ（A.B.C.D.）

防災とは、単なるデータ収集ではなく、市民が関心を寄せる結果へと警告をマッピングし、それを確実に行うことです。ここで継続的なモニタリング（C-MON）が、チーム全体や機関全体が以下の点を改善または維持するのに役立ちます。

ここでのテーマは脅威テレメトリー（システムやネットワークからのログや診断データ）であり、このテレメトリーには脅威情報のオペレーティングシステムが必要です。それは、中央神経系、あるいは可観測性レイヤーを作り出すことです。

C-MONはコミュニティのレジリエンス（回復力）の市民の心臓の鼓動であり、もしそれが停止すれば、市民は比喩的にも文字通りにも不当な代償を払うことになります。C-MONが機能するためには、チーム、部門、セクター、そして社会全体にわたって常に点と点をつなぐ（A.B.C.D.）ことが重要です。

結果、重要なサービス、およびサイバーフィジカルシステム保護（CPSP）を相互マッピングするには、継続的に接続を行う必要があります。

Clarotyプラットフォームは、接続プロセスを支援するとともに、達成しやすい目標を掴むのにも役立ちます。NIST CSF 2.0と同様に、このプラットフォームはNISTの省庁間報告書「脅威の優先順位付けと対応を知らせるためのビジネス影響分析の使用」（NIST IR 8286D）ともよく整合しています。

NIST IR 8286Dを直接引用すると：

「資産の価値は、それが組織の目標達成にどの程度役立つか（または他の資産がそうする能力をサポートするか）に直接依存している。」

Clarotyプラットフォームでは、ビジネス影響評価の実行は、ますますおなじみとなっているプレイブックのサブセットにすぎません。

どのプランを選択しても、Clarotyプラットフォームは同じ価値提案を提供します。

脅威の最適化：重要な教訓

防災月間を通じて、そして社会全体において、「防災」とは予見であり、事後ではありません。問題は、州、地方、郡のリーダーが、自分たちとチームが早く、そして頻繁に点と点をつなぐのに十分な装備と権限を与えられていると感じているかどうかです。レジリエンスがそれを求めているのです。

重要なインシデントに対する反応のサイクルを断ち切らなければなりません。これを行う素晴らしい方法は、すべての公共サービス従事者と、重要なサービスドメイン全体の各部門機能に、先行指標が最初に見られたときにそれに基づいて行動するために必要なツールと権限を与えることです。これには、より良いC-MONの規律と包括的なガバナンスが必要です。CPS保護プラットフォームは、重要な脅威の仲裁役の一例にすぎません。

脅威は、タイムリーに発見された場合にのみ最適化できます。サイバーフィジカルシステム保護の場合、これは、州および地方自治体内の部門全体で、サイバーフィジカル脅威の発生源により近い場所に、継続的なディスカバリおよび脅威ルーティングメカニズムを展開することを意味します。重要なサービスの保護は、すべての人の責任です。

Claroty プラットフォームの導入がサイバー脅威管理の慣行開発にどのように役立つかについて詳しく知りたい場合は、クラロティの専門家へデモをリクエストしてください。

脅威への防災を今こそ対策する方はお問い合わせください。