Mike Riemer、ネットワークセキュリティグループ(NSG)シニアバイスプレジデント兼フィールドCISO、Ivanti
2025年8月15日
読了時間:5分
_Cagkan_Sayin_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "ブロックが列に並んでおり、1つ分の空きスペースがある。そのうちの1つのブロックが他の上にあり、「CONNECT」とラベル付けされている。")
出典:Cagkan Sayin(Alamy Stock Photo経由)
論説
私がネットワークセキュリティグループのプロダクトマネジメントとエンジニアリングの両方を率いる役割を引き受けたとき、すぐに気づいたのは、単に優れた技術を構築することだけが課題ではないということでした。エンジニアリングチームが最も重要なことに集中できるようにしつつ、私たちの仕事の価値をビジネスリーダーに効果的に伝えることが重要だったのです。
この技術専門家と経営層(C-suite)とのコミュニケーションギャップは、あらゆる企業で見られます。多くの優秀なセキュリティ専門家やエンジニアが、自分たちの複雑な業務を経営層に響く言葉に翻訳するのに苦労しています。一方で、経営層もサイバーセキュリティの重要性は認識しているものの、十分な技術的背景がないために、チームが何を必要としているのかを完全に理解できていないことが多いのです。悪意があるわけではありませんが、その結果は深刻です。優先順位の不一致、非効率なリソース配分、そして製品のセキュリティを脅かす断絶などが生じます。
データ主導のコミュニケーションでサイロを解消する
私の仕事の重要な部分は、エンジニアリングチームがトリアージを行うのを支援することです。彼らは数多くの要求や潜在的なプロジェクトに直面しており、明確な優先順位付けがなければ、すぐに圧倒されたり、最大の効果をもたらさない取り組みに時間を費やしてしまう可能性があります。
セキュリティやエンジニアリング分野のチームリーダーにとって、これは(おそらく)2つの重要なスキルを身につけることを意味します:
-
技術的要件をビジネス言語に翻訳すること
-
データを活用してリスクを効果的に伝えること
技術チームが製品のセキュリティリスクを専門用語で説明すると、経営層は顧客への実際の影響を理解するのに苦労します。リスク管理にデータ主導のアプローチを用いることで、リーダーは脅威を客観的に評価し、ビジネスの観点から説明できるようになります。
例えば、脆弱性を純粋に技術的な観点だけで説明するのではなく、セキュリティ志向のプロダクトリーダーは、悪用される可能性やビジネス・顧客への影響、リスクに実際のコストを割り当てるなどの形で議論を展開できます。これにより、両者が理解できる共通言語――ビジネスの言葉――が生まれます。
デフォルトで、設計段階からのセキュリティ
私は、セキュリティ重視の考え方をプロダクトリーダーシップに持ち込むことを重視してきました。すべてのプロダクトリーダーやエンジニアは、少なくともセキュリティや安全なコーディングの実践についての基礎知識やトレーニングを受けるべきだと考えています。この専門知識をリーダーシップの役割に組み込むことで、セキュリティが後回しになったり、新機能の追求のために脇に置かれることなく、製品開発プロセスの中核要素となります。
セキュリティ重視のプロダクトリーダーがいる強みは、「設計段階からのセキュリティ(secure by design)」や「デフォルトでのセキュリティ(secure by default)」を最優先事項にできることです。最初から製品にセキュリティを組み込むことで、セキュリティ体制が強化されるだけでなく、全体的な品質も向上します。
経営層のセキュア開発への賛同を得る
ここでコミュニケーションの橋渡しが重要になります。設計段階からのセキュリティ原則が、単にセキュリティチームだけでなくビジネスにとってなぜ重要なのかを理解してもらう必要があります。これには、開発手法をビジネス成果に翻訳することが求められます。
セキュア開発の取り組みを経営層に提示する際、私は経営層に響く3つの重要なポイントに焦点を当てています:
-
コスト回避:開発プロセスにセキュリティを組み込む方が、後から追加するよりもはるかにコストがかかりません。本番環境で発見されたセキュリティ脆弱性や弱点は、大規模な手直しや緊急パッチ、ダウンタイムなどが必要となり、いずれも高額なコストにつながります。
-
市場投入までの時間:一部の人が考えるのとは逆に、設計段階からのセキュリティは開発サイクルを加速させます。セキュリティ要件が最初から明確であれば、エンジニアリングチームは後からセキュリティ問題を修正するために時間を費やす必要が減ります。
-
競争優位性:設計段階からセキュリティが確保された製品は、顧客に安心感を与え、総所有コストも削減します。これは市場で自社ソリューションを差別化するセールスポイントとなります。
エンジニアリングチームが実行可能なセキュリティ要件にする
セキュリティ志向のプロダクトリーダーは、抽象的なセキュリティ概念と具体的な開発実践との間の翻訳者です。エンジニアリングチームに「セキュアに作って」と言うだけでなく、効果的なリーダーは具体的で実行可能な指示やトレーニングを提供し、本番前にミスを認識できるようにします。
これは、各開発サイクルの最初に明確な安全なコーディング要件を定義し、開発プロセス全体でセキュリティチェックポイントを設け、セキュリティの観点が受け入れ基準に組み込まれていることを意味します。
エンジニアリングチームは、何を作るかだけでなく、なぜ安全に開発することが重要なのかを理解する必要があります。開発者が、自分たちが実装している機能が安全でなければビジネスにどんな影響があるかを理解すれば、正しく、かつ完全に構築する可能性が高まります。
開発チームにおけるセキュリティ文化の醸成
セキュリティ重視のプロダクトリーダーシップの最も重要な側面の1つは、セキュリティがセキュリティチームだけでなく、全員の責任であるという文化を育てることです。これには継続的な教育、明確なプロセス、そしてセキュリティを優先するチームへの評価が必要です。
開発者向けの定期的なセキュリティトレーニングは、一般的な脆弱性やコーディングミス、そしてそれを回避する方法を理解するのに役立ちます。セキュリティを考慮したコードレビューが標準となり、妨げとは見なされなくなります。セキュリティテストは開発プロセス全体に組み込まれ、セキュリティ問題が早期かつ頻繁に発見されるようになります。
セキュリティが外部からの制約ではなく開発文化の一部となることで、チームは機能を構築する際に自然とセキュリティへの配慮を持つようになります。
セキュリティの成功を測定し伝える
セキュア開発の実践に対する経営層の支持を維持するには、リーダーはこれらの投資がもたらすビジネス価値を測定し、伝える必要があります。これは、経営層が重視する指標――セキュリティインシデントの減少、市場投入までの時間短縮、修正コストの削減、顧客満足度――を追跡することを意味します。
経営層への定期的な報告では、セキュア開発の実践がビジネス目標にどのように貢献しているかを強調すべきです。経営層がセキュリティ投資とビジネス成果の直接的なつながりを認識できれば、これらの取り組みをより優先するようになります。
エンジニアリングやプロダクトリーダーにとって、セキュリティの専門知識を身につけることは、より良い製品を作るだけでなく、より良いビジネスを築くことでもあります。セキュリティを効果的に優先し、その価値を明確に伝え、セキュア開発の実践をビジネス目標と一致させる能力は、長期的な成功に不可欠です。
セキュリティは、製品開発の中核要素となり得るし、そうあるべきです。皆がそれを認識できるようにしていきましょう。