サイバーセキュリティ:バイオテクノロジーと製薬業界の 3 つのステップ
この記事は最初に公開されました bio-itworld.com。
サイバーセキュリティのニーズとポリシーに関しては、バイオテクノロジー業界と製薬業界は、他のすべての業界と同様に、最も貴重な資産を保護および保護する必要があります。しかし、両社のユニークな点は、企業のデータを保護することはどの業界にとっても重要ですが、この情報(研究など)は重要であるということです。です問題のバイオテクノロジー企業または製薬企業—それは彼らの生命線であり、彼らが行うすべての基盤です。
金融サービスなど、高度にデジタル化され規制の厳しい他の業界と比較すると、バイオテクノロジーや製薬業界は、これまでサイバーセキュリティ対策や政策への支出がはるかに少なくなっています。しかし、なぜそうなるのでしょうか。目的達成や規制遵守などに役立つ研究分野やプロジェクト分野への資源配分に関しては、バイオテクノロジーと製薬企業はすべて同じ立場にあります。本当の課題は、これにはある程度の犠牲やビジネスの他の分野とのトレードオフが必要になることです。サイバーセキュリティは、効果を上げるために必要な注意やリソースを得られないものの1つですが、常にそうであるとは限りません。
現在のサイバーセキュリティポリシーと対策は、主に、ネットワークの「外部」のみを保護するファイアウォールなどの境界防御を保護することに重点を置いています。しかし、テクノロジーの進歩と、新しい侵入方法を見つけようとする悪意のある攻撃者の忍耐力により、境界線は保護されています。もう十分ではない。そのためには、「侵害を想定する」という考え方に変える必要があります。つまり、攻撃者がネットワークに侵入するのは「もし」ではなく、「いつ」なのかを判断するということです。したがって、本当の問題は次のようになります。」ネットワーク内に侵入したらどうしますか??」
ここはマイクロセグメンテーションテクノロジーが活躍します。マイクロセグメンテーションは、サイバーセキュリティの新しい考え方となっています。ネットワークとデータセンターを潜水艦のようなものと考えてください。潜水艦の船体が損傷すると、セクションの両側の水密ドアが密閉されるため、水の流れが制限されます。これにより、潜水艦は沈むことなく機能し続けることができます。マイクロセグメンテーションによって、組織のネットワークにも同じ効果が得られます。ネットワーク内の価値の高い資産 (至宝) と、価値の低い領域 (侵入者になりそうなものがそこから始まる) を分離します。マイクロセグメンテーションは侵害の拡大を防ぎ、侵害の基盤となります。サイバー・レジリエンス侵入者が境界防御をすり抜けたら
最大の課題の1つは、「侵害を想定する」という考え方が実現したら、どこから始めればよいかを知ることです。そこで、このことをお話ししたいと思います。最初の 3 つのステップご案内するには:
ステップ 1: 協力して「王冠の宝石」を見極めよう
一見当たり前のように見えますが、高価値資産の分類は、組織内の利害関係者によって異なる場合があります。組織がこの取り組みを行っていない場合、最初のステップは、主要な利害関係者 (CISO、リスクとガバナンス、主要なビジネス関係者、法務、財務など) を集めて、会社のインフラストラクチャ内の資産とアプリケーションのリスクをマッピングすることです。そのための良い方法は、次の点を見てみることです。NIST サイバーセキュリティフレームワーク(CSF)なので、リスク評価を行うことができます。
ステップ 2: 保護または制御する最善の方法を特定する
クラウンジュエルアプリケーションを保護するには、何層にも重ねて保護します。これらには、IDとアクセス管理 (IAM)、脆弱性管理、セグメンテーションが含まれます。組織に 2 要素認証を使用する優れた IAM プログラムがあることを確認することから始めるとよいでしょう。王冠に潜む脆弱性を積極的に管理することも、もう一つのメリットです。ただし、クラウンジュエルにはさまざまな理由 (本番環境のフリーズ、利用可能なパッチがない、またはパッチによってアプリケーションが壊れるなど) でパッチが適用されない場合があるため、脆弱性へのパッチの適用は特に困難です。セグメンテーションは、多くの組織が注目しているもう1つのコントロールで、NIST CSFに当てはまるものです。セグメンテーションにより、クラウンジュエルには承認されたデバイスからのみアクセスでき、それらのデバイスは重要なアプリケーションの特定のビジネスプロセスにのみアクセスできるようになります。
ステップ 3: 組織に適した潜在的なソリューションを評価する
セグメンテーションの問題に対処するための一連のソリューションを決定するには、まず、さまざまな段階で求められる可能性のある主要な利害関係者(セキュリティエンジニアリング、ネットワークエンジニアリング、アプリケーションチームなど)を特定する必要があります。チームは集まって、市場に出回っているソリューションを検討する必要があります。チームには、さまざまなベンダーのさまざまなアプローチを検討することを強くお勧めします。それを覚えておくことも重要です。セグメンテーションは新興市場です。従来、組織はアプリケーションを保護するためにファイアウォール、サブネット、ゾーンを使用していましたが、脅威の状況が変化し、コンピューティングが進化したため、既存のデータセンターやパブリッククラウドにあるアプリケーションをセグメント化する問題を解決する新しいソリューションが進化しました。
バイオテクノロジー企業や製薬企業は、将来の脅威にどのように対応するかについて、事前に計画を立て、今すぐ考える必要があります。これは問題ではありません。もししかしいつ組織や個人がサイバースペースで侵害されます。それを信じるなら、あなたは最も重要な認知的一歩を踏み出したことになります。「侵害を想定し」、サイバー攻撃に耐えるレジリエンスを構築する準備はできています。