Tenable ブログ
ブログ通知を受信するビジネス整合的なセキュリティリーダーの一日
将来を担うのは、セキュリティ上の目標をビジネスリスクの理解と整合できるサイバーセキュリティリーダーです。次の 8 つの日々のアクションを実行すれば、達成できます。
私はサイバーセキュリティ業界で働いて 20 年になります。技術者として、ペネトレーションテストとマルウェアの分析を行ってきました。侵入検知プログラムやセキュリティオペレーションセンターの運用を行い、それらすべてのコンポーネントのポリシーとコンプライアンスの責任を負う役割も務めました。現在 Tenable では、40 種類ものセキュリティツールに対するベンダー関係管理を担当しているので、そうしたツールが日々何を行い、どのように動作しているのかは、かなり詳細にわたって説明することができます。過去 30 日間にパッチを適用したすべての脆弱性と、それがどのシステムに存在したのかに関する一覧も提示できます。しかしそれらは、現在の職務でも前職でも、経営幹部レベルの役員や取締役会と会話するときには全く問題にされないのです。
結局のところ聞かれるのは、決まって次のような簡潔な質問です。「会社のセキュリティとリスク度は大丈夫 ?」しかしこの 20 年間、役に立つ答えにたどり着くのは常に困難でした。
今年の初め、Forrester Consulting は Tenable の委託を受け、 世界各国で 800 人以上のビジネスリーダーおよびサイバーセキュリティリーダーを対象に調査 を実施して、なぜ困難なのか、その理由を調べました。結果を要約すると、次のようになります。サイバーセキュリティとビジネスの間には慢性的な乖離が存在し、それはセキュリティリーダーの利用できる技術、プロセス、データの不足によって悪化している。
しかし、乖離の中心に横たわる人的要因についても考慮しなければ、誤った結論を下してしまうでしょう。
第 2 言語としてのビジネス語
CISO や他のサイバーセキュリティリーダーは、一連の役員の中でも異色の存在です。技術とビジネスの両方の事柄を、同じように流暢に説明できる必要があります。しかし、経営学修士やそれに近い学歴を持っているかもしれない財務や営業のリーダーなどとは異なり、 サイバーセキュリティリーダーの多くは、コンピューターサイエンスなどの技術畑の出身です。情報セキュリティリーダーは通常、企業の中で技術系の職位を昇るのですが、いよいよ上級管理職や経営幹部の役職に手が届いたときに、これが即座に不利になります。
技術は情報セキュリティリーダーの第 1 言語、つまり母国語です。そして使用するツールやプロセスは、全て技術の言葉に基づいているので、母国語で明確に表現することができます。情報セキュリティリーダーのほとんどは、「第 2 言語としてのビジネス語」をある程度話せますが、業務に使用する必要のあるツールやフレームワークは、技術以外の世界で簡単に言い換える手段がないこともあって、乖離の状態は改善されません。
「セキュリティの見地から発見した多くの事柄を言い換える方法を理解し、ビジネスサイドが共感できるようにすることがカギです」と、グローバルのオンライン旅行プラットフォームの VP 兼 CISO の Rick Vadgama 氏は、Tenable のインタビューに答えています。「情報セキュリティ専門家の多くは、何が脆弱性やエクスプロイトなのかをきちんと理解していますが、それを普通のビジネス側の人が理解できるように言い換える方法を知らない。どうすれば共感してもらえるのかわからないのです」
Vadgama 氏は大学で財務と会計を専攻し、キャリアの前半ではビジネス系の職務に就きましたが、天職ではないと感じて IT に転向しました。その多様なバックグラウンドが、現在の職務に役立っていると彼は言います。「私はビジネスの側面が分かります。財務についても分かります。そしてその後、ネットワーク部門や開発グループを有する IT 部門のディレクターとなったことも含め、IT の職位を昇りながらさまざまな部門と一緒に仕事をしてきたことで、他の部門に関する背景知識も身に付けました。ですから、私がセキュリティの世界に入ったときには既に、背景となる知識や認識が備わっており、技術者とビジネス側の人の間にある溝をどのように乗り越えればよいかわかっていました」
技術系の職位を昇ってきたサイバーセキュリティリーダーに対して、Vadgama 氏は次のようにアドバイスします。「ビジネスやグループの運営方法に関する背景知識を得るために、セキュリティの領域を離れて、どこか他の部門でしばらく働くとよいと思います。そして情報セキュリティの世界に戻るのです」
これも毎日の仕事
はるか昔、2003 年に発行された SANS Institute の文書 は、「[CISO] が担う責務は、他のどの経営幹部とも異なる。CIO でさえもその例外ではない」と、この難しい課題についてはっきりと述べており、それは現在でも変わらず当てはまります。
以下の項目が、ほとんどの CISO が実行している最も重要な責務の一部であるとして詳しく紹介されています。
- 顧客やパートナー、一般の人々からの組織のセキュリティ戦略に関する問い合わせに対して、組織の代表としての役割を果たす。
- ネットワーク攻撃や従業員による情報窃盗の発生源を追跡しながら法執行機関に対応する際に、組織の代表としての役割を果たす。
- セキュリティのニーズと自社の戦略的事業計画のバランスを取り、リスク要因を特定し、両方に対する解決策を決定する。
- 中核的なビジネス要件に悪影響を与えることなく、十分なビジネスアプリケーションの保護を提供する、セキュリティポリシーおよび手順を構築する。
- 顧客やパートナー、一般の人達との協議の可能性を含め、セキュリティ侵害への対応を計画し、試験する。
- セキュリティハードウェアやソフトウェア製品、および外部委託の手配の選定試験、配備、保守点検を監視する。
- ファイヤーウォールデバイスを管理するネットワーク技術者から警備員まで、会社のセキュリティを責務とする従業員を監督する。
単なる職務の範囲だけを考えていると、日常業務のどれを優先して時間を費やすかを考えるのが難しいかもしれません。ほとんどのセキュリティリーダーは、上記の箇条書きで最後の 3 つに記載されている、技術的で手慣れた範囲の職務だけを行いたいと望んでおり、インシデントの対応と、その発生の可能性を最小限にするよう設計された業務の監視に時間を費やしています。
しかし、楽にできる作業範囲に留まっていては安全は強化できません。Forrester の調査結果「ビジネス整合的なセキュリティ責任者の台頭」によると、94% の企業が過去 12 か月間に、顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失の少なくともいずれか 1 つを発生させる、ビジネスに影響を及ぼすサイバー攻撃を経験しています。そして、回答者の大部分 (77%) は、今後 2 年間でサイバー攻撃が増加すると予想しています。
さらに調査では、自社のセキュリティチームが持つリスクレベルやセキュリティレベルの定量化能力に、「いくらか自信がある」と回答したビジネスリーダーはわずか 66% であることも判明しています。
ビジネス整合的なセキュリティリーダーになるための 8 つのステップ
何かを変えなければならないのは明らかです。セキュリティリーダーである私たちは、ビジネスとの整合性を向上させる方法を見つけなければなりません。それには、日々の努力が必要となります。ご自分の時間配分にどう優先順位を付けているかに注意して、ビジネスとの整合度確保に集中できるだけの十分な時間が取れるように業務を構成しているかどうか、留意する必要があります。
マドリードにある LafargeHolcim IT EMEA の IT セキュリティおよび社内コントロール責任者である Jose Maria Labernia Salvador 氏は、Tenable のインタビューに答えてこう語っています。「ビジネス整合的なセキュリティリーダーになるためには、ビジネスに価値を提供し、信頼関係構築のサイクルを互いに共有することが最も重要です。ビジネスを成立させるためには、ミッションとビジョンも非常に重要です。そして直接意思疎通する経路を確保するために、信頼できるパートナー関係を構築する必要もあります」
Vadgama 氏は、自社全体にわたって信頼関係を構築しようとする努力は、極めて重要であると言っています。彼は現職の会社でプライバシー委員会に参加することによって、さまざまな部門、とりわけ法務部門や製品マネジメント部門、技術部門のリーダーと協力関係を築く機会を得ることができました。しかし正式な委員会活動でなくても、企業を横断して連携し、繋がりを持つことは可能です。
「IT チームだけと打ち合わせを行うのではなく、技術やマーケティング、セールス、その他色々な部門とも合って、関係を構築するのです。そうすれば、他の部門に対処を依頼する必要が生じた場合に、私が打診すれば、即座に『了解。これはうちで対処することとわかってます』と回答が返ってくるでしょう」と、Vadgama 氏。
以下は、ビジネス整合的な未来へ向かうことを可能にする、毎日の業務に取り入れることのできる 8 つのプラクティスです。
- 毎日時間を取って、自社の社外向け文書に目を通す。財務諸表やプレスリリース、ニュース記事、ソーシャルメディア、業界のフォーラムを通じて、自社の役員が何を発信しているのか注意する。
- 各部門の役員との打ち合わせを計画し、彼らが日々直面している課題について理解し、信頼関係を構築する。彼らのパフォーマンスがどのように測定されているのか知識を得る。セキュリティは障害となるわけではなく、むしろビジネスニーズの実現を可能にするものであるということを理解してもらうよう努力する。そうすれば、役員はおそらく戦略策定の早い段階でセキュリティリーダーの関与を求めるようになるだろう。
- 自社と同じ業種の企業が直面している課題や優先順位について役に立つ知識を蓄積する。事業者団体や他の専門家組織に参加して、業界紙の企業間取引関連の記事を読み、ウェビナーや他の業界イベントに参加する。その結果、実際に役に立つ語彙や重要な視点を得ることができ、セキュリティ戦略を自社独自のビジネスニーズにより適した形で整合させることができる。
- 同僚の経営幹部レベルの役員との定期的なミーティングを計画し、その時間を利用して、彼らにとって最も深刻な懸念事項を理解する。ビジネス上の幅広い課題を理解することによってのみ、自社に対する真の「リスク」の意味を総合的に理解していくことが可能になる。
- 四半期毎のビジネスレビューを、最大の学習チャンスとして活用する。他の役員が明確に表現する、戦略上の優先順位や弱点を注意深く聞いて、それらに影響を与えるビジネスの外部要因について考える。それぞれの役員が、自身の行ったビジネス上の投資に対する効果をどのように証明しているのかに注意を払い、それに応じてセキュリティの ROI メトリクスを調整する方法を見出す。
- 信頼できるビジネスアドバイザーのネットワークを構築する。ビジネスの各領域からメンターを探し、指導を受けるとともに、コミュニケーション力を磨いてビジネスに精通した人材となるべく、良き相談役になってもらう。
- 自社のリスク専門家との関係を構築する。サイバーセキュリティは、それ自体がリスクであると同時に、他のすべてのビジネスリスクにおいてはリスクの要因でもあるので、サイバーセキュリティを最重要事項とし続ける全社的リスク管理戦略の策定に、どのように効果的に参加できるか、その方法を探し当てる。
- 会社全体で生じるサードパーティとの関係に着目する。給与支払プロセスや統合基幹業務システムのベンダーといった、主要な関係については基本的な知識を既に持っているかもしれない。しかし、ウェブチームや、自社のオペレーショナルテクノロジーの保守やサービス対応を行うサービスサポート請負業者が使用するツールやプラットフォームに対しては、どれだけの可視性があるのか。
他の通常の職務を効果的に遂行するのに加えて、上記すべてを行うとなると、時間が足りなく、非常に困難な作業に思えるかもしれません。すべてを一度に実行できなくても構いません。自分が最も共感できる 1 つか 2 つを選んで、そこから始めましょう。
Labernia 氏は、「最も重要なところから手を付けること」をアプローチの一案としています。「ビジネスリーダーは、今日のサイバーセキュリティ情勢の複雑さとリスクを一旦理解すれば、とてもオープンに議論に参加してくれる傾向があります。そこから徐々に、組織の他の主要な領域へと広げていくことができます。よくありがちな『NO (だめ、できない)』という反応から、『KNOW (分かってる)』と言うアプローチに移行させましょう。ゴールを理解しさえすれば、ビジネスセキュリティを運営する方法はいつでも見つかります」
技術的で慣れた領域から脱却し、よりビジネスに整合するための積極的な選択を行うことで、会社の利益となるだけでなく自分自身のキャリアを強化することができ、ビジネスリスク戦略の検討に貴重で「意見を聞く必要のある存在」として認められるようになります。
ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法
このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。
もっと詳しく
- その他の注目すべき調査結果はこちらから
- 報告書全文「ビジネス整合的なセキュリティ責任者の台頭」のダウンロードはこちらから
- ブログを読む
- ホワイトペーパー「ビジネス整合的なセキュリティリーダーの素質は ?」のダウンロードはこちらから
- e ブック「ビジネス整合的なセキュリティリーダーになる方法」はこちらから。是非ご一読ください。
- Cyber Exposure ポッドキャストシリーズ「Tenable CSO Bob Huber インタビュー」もお聞きください。
- 「ビジネス整合的なセキュリティ責任者の台頭」ウェビナー視聴はこちらから
関連記事
- Vulnerability Management