「Dept of Know Live !」での Rinki Sethi 氏の座談会「現代のセキュリティにおける成功とは」から4つのハイライト
Former VP and CISO
現代のセキュリティにおける成功を定義することは簡単ではありません。効果的に脅威をブロックすることだけが成功の指標ではないのです。むしろそれが失敗につながる可能性もあります。
先週、「Dept of Know Live !」で Kelly Shortridge 氏および Bea Hughes 氏と議論したとおり、真の成功には複数の要素が存在します。セッションを見逃した方 (こちらで視聴できます) のために、私が特に重要だと考えるポイントをご紹介します。
1. セキュリティはビジネスのパートナーだと考える
セキュリティチームはこれまで何にでも反対するチーム、あるいは「足を引っ張る部門」と思われがちでしたが、今やその状況は変わろうとしています。セキュリティ担当者が役員に就任したり、役員会でセキュリティがビジネスの最重要課題として議題になったりすることが増えつつあります。
現代のセキュリティとは、セキュリティとビジネスニーズの関係を理解することに尽きます。企業はこれまで以上に、セキュリティを自社の競争力強化につなげる方法について調べ、初期段階から優先的に取り組み始めています。今までテクノロジーに軸足を置いていたセキュリティチームのリーダーには、ビジネスにも精通することが求められています。セキュリティがビジネスにとって真の意味でのパートナーとなり、ビジネス目標達成を後押しできるようにするためです。
2. リップサービスではない本当の支持を獲得する
セキュリティがとある役員のチェックリストの項目の1つに過ぎない場合、従業員もセキュリティを軽視するため、前向きなセキュリティ文化の醸成は難しいでしょう。現代のセキュリティとは、会社のあらゆる部門で活躍するビジネスリーダーたちと連携し、彼らがセキュリティの優先順位についてスマートに発言できるようになることを意味します。CEO を含む経営陣全員が、企業の新製品や新機能に関して有する知識や熱意と同等の知識や熱意をもって、セキュリティ対策について話せるようになる必要があります。
私がかつて働いていた企業では、経営陣がセキュリティについて楽しく会話できるようなクリエイティブな方法を考えてきました。例えば、セキュリティに関する一風変わった動画に出演し、全社員ミーティングで披露するなどです。また、経営陣がスタッフミーティングで積極的にセキュリティリスクを確認し、ダッシュボード作成を支援して、担当部門内で自らリスク削減を進める姿も見てきました。このような施策を通じて、これまでのようなリップサービスではない本当の支持を獲得してきたのです。
3. リスクを効果的に測定し伝える
リスクの測定は困難であるがゆえ、セキュリティ対策の重要性をアピールするためにどのようなデータを使うべきか判断するのも難しいところです。だからこそ、他社において攻撃や脅威から生まれたリスクを知るのは有効な手段です。避けたい状況の例ほど説得力のあるものはありません。
私は、聞き手に合わせたメッセージの発信が有効であると感じています。財務チームとエンジニアリングチームでは、優先順位が異なります。よって、目の前にあるリスク、その測定基準、各チームにとって測定値が何を意味するのかを強調することが重要です。例えば、各チームの業務にリスクがどのような影響を与えるのか、その業務の安全が担保されない場合何が起こりうるかなどです。万能な対策は存在しません。成功を実現するには、各チームの立場に立って、それぞれのチームの影響力の大きさを本当に理解してもらうことが不可欠です。
4. 強いパートナーシップ力を養う
セキュリティチームが否定的なレッテルを貼られるのは珍しいことではありません。例えば、出荷コードの担当者は「セキュリティチームと連携すると仕事が遅くなり、大変なことになる」と考えるかもしれません。スピードを優先するため、セキュリティの問題を完全に無視してしまうこともあります。
このような状況が発生している場合、より良いセキュリティ文化を築くには、セキュリティチームがなぜそのような悪評を得ているのか理解することから始めます。セキュリティチームはビジネスの目標を理解し、それに沿った行動を取る必要があります。ただし、リスク軽減の責任がすべて自分たちの肩にかかっているわけではないことを忘れてはいけません。なぜなら、それは経営陣の判断のもとで行われるべきだからです。経営陣の賛同が得られれば、チェックポイントを決め、社内全体のパートナーが説明責任を果たせるようなプロセスを導入できます。全員が参加し、健全なフィードバックサイクルを構築することで、説明責任の共有および真のパートナーシップを実現できます。
まとめ
現代のセキュリティにおいて成功するには、セキュリティが大きなビジネスの文脈の中でどのように位置づけられるかを知る必要があります。長年にわたり戦ってきたセキュリティリスクに優先順位をつけ、ビジネスに取り入れる方法を見つけることが重要です。それによってセキュリティはビジネスの優先事項になり、セキュリティチームが「足を引っ張る部門」と見なされることはなくなります。
オンデマンドでこの座談会のフルバージョンをご覧ください。 今週末3月10日正午 (太平洋標準時) からは、JupiterOne の CISO 兼 Head of Research の Sounil Yu 氏が「The Dept of Know Live !」にて、セキュリティをイノベーション実現につなげる方法について語ります。是非ご視聴ください。
