CIO と CSO の連携がエクスポージャー管理を効率的に行う上で重要

毎週月曜日、Tenable のサイバーエクスポージャー管理アカデミーでは、脆弱性管理からサイバーエクスポージャー管理への移行に必要な、実用的で現実的なガイダンスを提供しています。 この記事では、Tenable の CIO である Patricia Grant が、サイバーエクスポージャー管理プログラムを成功させるために CIO と CSO の関係がいかに重要であるかを考察しています。 サイバーエクスポージャー管理アカデミーの全シリーズはこちらからお読みいただけます。  

私が Tenable に入社して最初に取り組んだことの一つは、CSO の Robert Huber と話し合い、今後の協力体制について意見をすり合わせることでした。 

さらに、2024 年、私は、「CIOs and CISOs Are ‘Better Together (CIO と CISO は共にあるべき)」と題した WSJ の記事に特集されました。その理由は、これが本質的な課題だからです。 CIO と CISO はサイロ化した状態で業務を行うことはできません。 組織のセキュリティ確保に真剣に取り組むのであれば、IT 担当部門とセキュリティ担当部門は、理念の面でも運用面でも緊密に連携する必要があります。 サイバーエクスポージャー管理は、そのパートナーシップが日々どのように実践されているかを示す格好の例です。

リスクは共有され、責任もまた共有される

最初に伝えたいのは「企業のセキュリティ確保は、IT 部門とセキュリティ部門の共有責任である」というシンプルな事実です。 CSO が戦略とリスク態勢を策定する一方で、IT 部門はその実行 (システムのパッチ適用や管理策の導入から、稼働時間の維持やセキュリティシグナルの解釈に至るまで) において重要な役割を果たします。

だからこそ、部門間の緊密な連携は、任意で選択するものではなく、必須なのです。 私たちは、同じ文脈と緊急性を共有した上で意思決定を下せるよう常に連携を図っています。 もう年間計画だけでは十分ではありません。 脅威環境は四半期ごと、場合によっては月ごとに変化するため、私たちの協力体制は継続的で、柔軟性があり、敏捷なものでなければなりません。

結局のところ、CIO と CSO の緊密な連携がなければ、適切なエクスポージャー管理を実施できません。 私たちは、Tenable の従業員、お客様、パートナー、さらには当社自体を保護することについて、説明責任と遂行責任の両方を負っています。 そして私たちは、どちらも必要不可欠なものを提供し合っているのです。 

一元的な可視化は複数ツールを行き来するセキュリティよりも効率的

サイバーエクスポージャー管理は、目標に沿って進むために最適なツールです。 

クラウド、オンプレミス、ハイブリッドなど、すべての資産を一目で確認できます。 私は「回転椅子型のセキュリティ (複数のツール間を行き来するセキュリティ）」には賛成できません。 担当部門が、最初に何を修正すべきかを見極めようと複数のツール間を行き来する状態は避けたいのです。 サイバーエクスポージャー管理を使用すると、一元的な可視化への移行が可能です。 

これにより、何が重要で、何が緊急で、今すぐパッチの適用が必要なのは何か、何を後回しにできるかを確認できます。 

インフラがデータセンター、本社、ホームオフィス、場所を問わず働くデジタルノマドなどのあらゆる場所にまたがっている場合、こういった可視性は不可欠です。

エンドポイントは新たな最前線

データセンターやクラウドインフラとは異なり、エンドポイントは従業員と一緒に移動するため保護がより困難です。 Tenable では、ゼロデイが明らかになった場合「24 時間以内にデバイスにパッチを適用しないとそのデバイスは自動的にロックされる」という断固とした措置を実施しています。

ただし、セキュリティはオフィス内だけにとどまりません。 従業員はどこにいても、防御システムの一端を担うことになります。 だからこそ、Tenable は教育に力を入れています。従業員への足かせとするためではなく、従業員が自身でビジネスの安全を確保できるようにするためです。

サイバーエクスポージャー管理は気付いていなかった脅威を明らかに

システム管理は戦いの一部に過ぎないことも私たちは認識しています。 アイデンティティやアクセス、設定ミスについても警戒しなければなりません。 

重要なのは、自分が把握していることだけではありません。 サイバーエクスポージャー管理は見落としていた脅威を明らかにしてくれます。 たとえば、稼働中であることを忘れていたシステムや、開いていると思っていなかったポートなどが可視化されます。

「しまった、そのポートが稼働中とは知らなかった」などという瞬間は、考えているより頻繁にあるものです。 サイバーエクスポージャー管理はそうした問題を見つけて解決します。 

適切な問題への優先的な対処が戦略的優位性に直結

リスクの優先順位付けは常に差し迫った課題です。 その目標は、すべてのリスクを修正することではなく、 最も重大なリスクを修正することです。 文脈情報がない状態で膨大な数の脆弱性を追跡しても、時間とエネルギーが無駄になるだけです。 サイバーエクスポージャー管理によって、議論の焦点を「量」から「影響」へと切り替えられます。

これこそが、サイバーエクスポージャー管理が解決できる課題です。 「3,000 件の脆弱性を解消した」と誇示する代わりに、「真のリスクをもたらす 50 の脆弱性に対処した」と言えるようになるのです。

これは IT 部門にとって根本的なマインドセットの転換となります。 そして、それが行き着く先が変更管理です。

変更管理はもはや必須

変更管理は、特にサイバーセキュリティ分野では過小評価されています。 私が常々伝えているのは、テクノロジーを導入初日から稼働させるのは簡単ですが、 本当に難しいのは 2 日目以降だということです。 ハイブリッドで注意力が散漫になりがちな現代の環境では、従来のやり方が通用しません。 

メールはろくに読まれず、 会議は半分聞き流されています。 だからこそ、新しいアプローチが必要なのです。 私たちは、明確なメッセージを伝え、さまざまな学習スタイルに合わせた多様なフォーマットを提供することで、迅速に成果を出すことを目指しています。 サイバーセキュリティはすべての人の責任であり、すべての人に届けるためには、コミュニケーションの方法を見直すことが必要になります。

取締役会が理解できるリスクの伝え方

組織の上層とのコミュニケーションを図る必要もあります。 私はサイバーセキュリティに関する取締役会レベルの会議に定期的に参加していますが、そこで鍵になるのはサイバーリスクをビジネス言語に置き換えることです。 もはや技術的負債やパッチ適用の状況だけが問題ではありません。 CFO が財務上のリスクを定量化するのと同じ方法による、リスクの定量化が重要になってきます。 

取締役会は、技術専門用語を聞かされることを望んでいません。 取締役会が知りたいのは、 「当社のセキュリティ対策は万全か?」 「どこが脆弱なのか?」 「最悪のシナリオとは?」といった内容です。 サイバーエクスポージャー管理製品は、技術的な複雑さを戦略的インサイトに落とし込むのに役立ちます。

見えていない脅威からお客様を保護するお手伝い

Tenable では、お客様にも同じ理念を適用しています。 サイバーエクスポージャー管理の役目は可視化だけではありません。 重要なのは対処可能にすることです。 何をすべきかという疑問にお客様が答えを出せるよう、サポートすることが当社の使命だと考えています。 脅威サイバーエクスポージャー管理は、お客様が知るべきことを明確に示します。 

つまり、重大な脅威、脅威にさらされているシステム、そして効果的な対策を把握できるのです。 リスクとして認識していないものは保護できません。 さらに、AI、自動運転車、リモートワーカーの増加などによってアタックサーフェスが絶えず拡大し、進化している現在の環境では、すべてを把握することが不可欠です。 そこで必要になるのは一元的な可視化です。

キーポイント

結局のところ、CIO と CSO の緊密な連携がなければ、適切なエクスポージャー管理を実施できません。 私たちは、Tenable の従業員、お客様、パートナー、さらには当社自体を保護することについて、説明責任と遂行責任の両方を負っています。 そして私たちは、どちらも必要不可欠なものを提供し合っているのです。 

私から CIO の皆様へのアドバイスは、 CSO と緊密に連携し、 信頼関係を築き、 責任を共に担うことです。 

また、各部門が同じプレイブックに基づいて業務を遂行していることを確認してください。 サイバーセキュリティは、単独で取り組むにはリスクが高すぎるからです。

サイバーエクスポージャー管理について、当社に取り上げてほしい疑問はありますか?

ご意見をお聞かせください。 ご質問をお寄せください。今後の記事で取り上げる可能性もあります。