CSO Awardsは毎年、優れたセキュリティリーダーシップとビジネス価値を示すセキュリティプロジェクトを認識しています。
今年のプログラムでは、CSO Awards64のセキュリティ組織を表彰しています。これらの組織の懸命な努力と革新的なアプローチは、企業がますます困難になるサイバー環境でリスクをどのようにナビゲートするかに大きな影響を与えています。
これらのプロジェクトは、CISOおよびそのチームが現在エンタープライズセキュリティを強化するために採用している戦略の多様性を示しています。多くのプロジェクトはゼロトラストの原則を活用してリスクを低減しています。AIと自動化を使用して組織の防御を強化しているものもあります。ゲーミフィケーションおよび他の変更管理慣行を使用してセキュリティ意識を強化し、最初の防衛線を強化しているものもあります。
ここでは、現在のセキュリティで起こっている変革的な作業を集合的に代表する6つの受賞イニシアチブをプロファイルします。
Copartでのセキュリティ文化の変更
組織: Copart
プロジェクト: サイバーセキュリティをシートベルト着用と同じくらい本能的にする
セキュリティリーダー: Kevin Vuong、CISO
ソーシャルエンジニアリングが今日も中心的な初期攻撃ベクトルである中で、オンライン自動車オークション企業のCopartは、ほとんどのCISOにとって馴染みのある課題に直面していました。すなわち、従業員にサイバーセキュリティを日々のタスクに自動的に組み込むよう訓練することです。
セキュリティプロセスマネージャーのBrittany Littleによると、フィッシングシミュレーションなどのCopartのセキュリティ部門が使用していた訓練とテスト戦略では、セキュリティリーダーが期待する結果が得られていませんでした。また、手動で、一時的で、コンプライアンス主導の従来の訓練は、異なる役割タイプで構成される12,000人のグローバルな労働力の教育ニーズに合致していませんでした。
そこで、セキュリティチームは、Littleいわく、より効率的で影響力のあるセキュリティ意識向上プログラムを作成することに着手しました。このプログラムは、サイバーセキュリティの行動を「シートベルト着用と同じくらい本能的」にすることを目指しています。
そこで、Copartは、従業員のアクションに直接結びついた即座なマイクロトレーニングと役割ベースのフィッシングシミュレーションを継続的に提供する自動化適応型セキュリティ意識向上プログラムを実装しました。これにより、訓練は「重要なものに焦点を当てる」Littleを言います。
新しいプログラムはより集約的でもあります、Littleは述べています。以前は、セキュリティは四半期ごとに3~4つのグローバルシミュレーションを送信していました。「より多くの自動化と関連性のあるコンテンツを持つより効率的なプラットフォームを使用して、私たちは1年間で202,992のシミュレーションを実行しました。そのうち950以上は、従業員の役割、職務、プログラム内の行動分析に関連するユニークなシミュレーションです」と彼女は述べています。
改良された意識向上プログラムはゲーミフィケーションも活用しており、ライブリーダーボード、達成、および認識があります。そして、手動分析を自動化されたレポートと経営幹部スコアカードに置き換えました。
これらの改善は、会社のセキュリティ文化を強化しました。新しいプログラムが導入される前の2年間、シミュレーション報告率は17%~24%でした。新しいプログラムでは、報告率は55%~60%です。
「ゲーミフィケーションは、トレーニングと意識を異なるものにしてくれました」とLittleは述べ、それが従業員のエンゲージメントの鍵になったことを指摘しています。従業員は現在、強いパフォーマンスについて自慢し、セキュリティスタッフを含む互いと、ゲーミファイされたトレーニングセッションで学んだことについて話しています。
スコアカードも重要な役割を果たしており、部門リーダーに各従業員のサイバーセキュリティ鋭敏度に関するメトリクスを提供しています。「私たちはデータを見て、分析し、そして今、実質的な会話をしに行くことができます」とLittleは説明します。「それは私たちが実際に行動を変えることを可能にしました。」
ゼロトラストデータガバナンスがHMSAのサイバーチームをビジネスイネーブラーとして位置づけ直す
組織: Hawaii Medical Service Association(HMSA)
プロジェクト: ゼロトラストデータガバナンスイニシアチブ
セキュリティリーダー: Sudhakar Gummadi、CISO
HMSA CISOのSudhakar Gummadiは、非営利健康保険社のゼロトラストデータガバナンスイニシアチブを促した3つの力があると述べています。すなわち、医療部門を標的にした脅威ランドスケープの激化、規制とプライバシー期待の増加、およびHMSAのデジタルフットプリントの拡大です。
「段階的な改善はリスクを意味のある方法で低減しないことを認識しました」とGummadiは述べています。「必要だったのは、信頼、データ使用、およびエンタープライズ全体の説明責任についてどのように考えるかについて意図的な変革でした。」
HMSAはその変革の一部として、2024年にゼロトラストデータガバナンスイニシアチブを開始しました。
多数のゼロトラスト原則を実装し、成熟させることに加えて、HMSAは機密メンバー情報(CMI)がその本番ゾーンを離れることがないことを確認しようとしました。
その目標は従来のヘルスケア業界の慣行に反していました。本番環境のデータの実際のコピーが非本番環境での使用に存在し、システムの機能と忠実度を確保していました。
その慣行は、運用上は便利でしたが、データプライバシーおよびサイバーセキュリティリスクへのエンタープライズの曝露を著しく増加させたとGummadiは述べています。多くの非本番システムは、本番ゾーンと同じセキュリティ管理を持っていないことに注意しています。
したがって、イニシアチブの最大の課題は、変更管理コンポーネントでした。
「私たちは、非本番環境でのデータ使用方法に関する長年の慣行を再考するようチームに求めていました」とGummadiは述べています。「私たちは持続的な経営幹部のサポート、透明なコミュニケーション、および価値を示す初期の成功に焦点を当てることで、これに対処しました。それはビジネスにとってもメンバーの信頼を保護する責任がある者にとってもです。」
すべての非本番環境からCMIを排除することに加えて、HMSAのイニシアチブは、メンバーデータプライバシーを保護し、テクノロジーエコシステム全体にわたるエクスポーザリスクを削減しようとしました。非本番環境に関連するサイバーセキュリティの脆弱性を軽減し、データガバナンス慣行を標準化・現代化し、スケーラブルで持続可能かつ自動化されたマスキングフレームワークを実装することでした。
それを行いながら運用の継続性を確保するために、HMSAのセキュリティチームは、開発、テスト、および分析のために高忠実度で機能的に同等のデータを使用することを選択しました。これは重大なタスクでした。HMSAは、異種プラットフォーム、多様なデータモデル、および一貫性のないデータガバナンスプロセスにわたって50テラバイト以上のCMIを持っていたためです。
HMSAはPerforce Delphixからのアルゴリズム一貫性のあるマスキングルールを適用し、AIが有効なコンテンツを持つ自動データマスキングスイートを使用してCMIを識別しました。これにより、HMSAは非本番環境でCMIを完全に識別解除することができました。
長期的な持続可能性を確保するために、HMSAのデータガバナンスチームは、標準化されたプロセスフロー、管理、および責任割り当てマトリクスを確立し、自動マスクデータ更新と、システムの進化に伴う継続的なコンプライアンスを有効にしました。
「信頼はHMSAのミッションの基礎です。メンバー情報の保護は単なるコンプライアンス要件ではなく、コアビジネス上の当然のことです」とGummadiは追加しています。「このイニシアチブは、その信頼を規模で保護する能力を強化しながら、運用効率を改善し、より多くの情報に基づいた意思決定を可能にしました。それはサイバーセキュリティを下流管理ではなく戦略的イネーブラーとして位置づけ直しました。」
Hensel Phelpsがサイバー業務の自動化へのチームアプローチを取る
組織: Hensel Phelps Construction
プロジェクト: Project SAM
セキュリティリーダー: Dustin Morris、サイバーセキュリティおよびコンプライアンス責任者
Dustin Morris、Hensel Phelpsのサイバーセキュリティおよびコンプライアンス責任者は、セキュリティリーダーに共通のシナリオに直面しています。つまり、その速度や量ほど成長しないリソースで、常に拡大する脅威環境から防御することです。
2024年から、Morrisは自動化を使用して容量を構築することに焦点を当て、1,250時間の手動タスクを自動化し、フルタイム従業員の機能を効果的に複製することを目指しました。
「ビジョンは、サイバーセキュリティオペレーションで持つ日々の単調なタスクを本当に減らすことでした」と述べているMorrisは、それを方法論的に行い、彼の5人のチームを登録しました。
彼らは一緒に自動化するタスクを特定し、その自動化が節約する時間の量を計算し、自動化のための基礎を整えました。
Morrisはその後、「自動化ウィーク」をスケジュールしました。その間、チーム全体が集まって、特定されたタスクを自動化しました。場合によっては、既存のセキュリティソフトウェア内で提供される自動化機能を実装し、他の場合は独自に構築しました。
自動化の作業は継続中で、2025年の2番目の「自動化ウィーク」を含みます。その時点で、プロジェクトは「Security Automation Member」のSAMと呼ばれていました。
2026年初頭までに、セキュリティチームの自動化の取り組みにより、年間1,250時間以上の手動努力が排除され、一貫性が向上し、人的エラーが減少し、会社のセキュリティ態勢が強化されました。さらに、自動化は運用効率を強化し、ライセンス利用を最適化し、ダウンタイムを削減し、改善を加速させることでユーザーエクスペリエンスを向上させました。
さらに、イニシアチブは、自動化がビジネスの成長に対応するためにセキュリティオペレーションをスケールすることができる方法を示しており、ヘッドカウントの比例した増加がなく、サイバー従業員の仕事と生活のバランスを向上させます。Project SAMはまた、セキュリティチームメンバーが脅威ハンティングなどの高価値のプロアクティブセキュリティタスクにより多くの時間を費やすことを可能にしました。
Morrisは、2027年末までに別のFTE分の作業を自動化することを目指しています。
K&Nエンジニアリングが強いクラウドセキュリティのための左にシフト
組織: K&N Engineering
プロジェクト: コードからクラウドセキュリティ変革
セキュリティリーダー: Iqbal Rana、CIO
製造会社K&Nエンジニアリングは、AWSで独自のダイレクト・ツー・コンシューマー電子商取引環境を管理しています。セキュリティを監督するCIOのIqbal Ranaは、常にクラウドでセキュリティのベストプラクティスに従い、セキュリティチームによって実装されたクラウドネイティブセキュリティ機能とコントロールに依存して、「すべての正しいものが配置されている」ことを確認しました。
しかし、数年前の彼のサイバー保険会社による評価は、彼のITワーカーによって使用されるソフトウェアデプロイメントツール内のセキュリティ脆弱性に彼に警告しました。
その警告は、Ranaに脆弱性を直ちに対処するきっかけを与えた。そして、彼は彼のベンダー環境とITプロセス内のリスクをより積極的に見ることになりました。
これはK&Nのコードからクラウドセキュリティ変革につながり、ベンダーツール内の脆弱性だけでなく、彼のチームがデプロイしていたコード内の脆弱性にも対処しています。
イニシアチブは、K&NのAWSおよびAzure環境全体の開発ライフサイクルのすべての段階にセキュリティを統合した、コードからクラウドセキュリティフレームワークとWizテクノロジーの実装を含みました。
今、彼のチームはデプロイメント前にプロアクティブに脆弱性を特定・改善し、安全で準拠した効率的なクラウド操作を確保することができます。
「だから、デプロイメントリスクだけでなく、コードリスクにも対処します」と彼は説明し、テクノロジーが既知の脆弱性を持つコードが不用意にデプロイされることを防いでいます。「そしてそれはそこで終わりません。コードがデプロイされ、あなたが本番環境に住んでいるとき、その時点でそれは継続的にチェックし続けます。だから、インフラストラクチャの脆弱性だけでなく、コードに関する問題も教えてくれるダッシュボードがあります。」
Ranaは、彼のチームが何百もの隠された脆弱性を発見・改善できるようになったため、テクノロジーは変革的なシフトレフト戦略を可能にしたと述べています。また、チームにリスク曝露への近いリアルタイム可視性を与えながら、コンプライアンスを強化し、重要な収益流を保護しました。
セキュリティ変革がマクドナルドのレジリエンスを強化しながらリスクを低減
組織: McDonald’s
プロジェクト: Securing the Arches
セキュリティリーダー: Mike Gordon、CISO
McDonald’sは100以上の国で営業する44,000以上の場所を持ち、毎日69百万人以上の顧客にサービスを提供しています。そのレストランの約95%は地元のフランチャイジーによって運営されています。
会社のテクノロジースタックは、そのサイズ、グローバルなリーチ、および分散された性質を反映しています。そのサイバーリスクも同様です。例えば、そのモバイルアプリは約2億5,000万の消費者をそのレストランに接続しています。
「デジタル変革は、Ray Krocが想像していたよりもはるかにMcDonald’sでより接続されたエコシステムを作成しました」と会社のCISOのMike Gordonは述べています。「そのため、サイバーリスクはこれまで以上に高かった。」
数年前に実施された会社のセキュリティ態勢の評価は、多くのことを確認しました。つまり、テックリーダーシップに改善の余地があることを示しました。評価によると、会社のNISTサイバーセキュリティフレームワークでの成熟度は業界ピアを背後にしていました。また、基礎的なコントロール、脅威と脆弱性への可視性を含むサイバーセキュリティ機能は、地域全体で大きく異なっていることを示しました。
その結果、McDonald’sのCIOは変革を推し進め、2024年初頭にそれを実行するためにGordonを雇用しました。
Securing the Arches(STA)プログラムは、会社の企業および認可市場全体でサイバーセキュリティを近代化・統一しました。STAは、会社の100以上の市場全体にわたって、アイデンティティコントロール、脆弱性管理、データ保護、および脅威検出に対して一貫した基礎を確立しました。また、グローバルSOC、セキュアな開発パイプライン、プロアクティブテスト、およびシステム全体のエンドポイント可視性を含む共有サービスを通じて一貫した、エンタープライズグレードの保護を確立しました。
この変革のサイズと構造には、強力なエグゼクティブスキルが必要でした。
「私は1つの会社のCISOではなく、基本的に約150の会社のCISOであり、そのうち1つだけに直接管理権があります」とGordonは説明し、変革成功は他のリーダーを構築し、影響を与えることの関係構築、同様にセキュリティチーム内に正しいテクノロジーと技術スキルをデプロイすることを意味しました。
STAは会社のレジリエンスを強化し、リスクを低減し、McDonald’sの加速するデジタル成長をサポートするために必要なセキュリティ基盤を提供しました。会社のサイバーセキュリティ成熟度が上昇したため、Gordonは現在、サイバーセキュリティプログラムの有効性を継続的に改善することに焦点を当てて、Securing the Arches 2.0を制定しています。「私たちは進化し続けます」と彼は追加しています。
MISOが脅威アクション運用に成熟度とメトリクスをもたらす
組織: Midcontinent Independent System Operator(MISO)
プロジェクト: STRIKE(Strategic Threat Reduction & Intelligence-Driven Knowledge Engine)
セキュリティリーダー: Eric Miller、VP兼CISO
多くのセキュリティ部門と同様に、MISOのセキュリティチームはNISTフレームワークおよび他の成熟度モデルなどの一般的なツールを使用してそのプログラムをスコアリングし、その成熟度の改善を追跡しました。
「しかし、脅威インテリジェンスと脅威ハンティングの観点から、本当に私たちのプログラムがどれだけ成功したかを示す特に意味のあるメトリクスはありませんでした」とDavid Webb、MISOのサイバー脅威アクションセンターの責任者は述べています。
その結果、MISOのセキュリティリーダーおよび他の経営幹部は、センターの有効性を明確に追跡したり、それが成熟しているかどうかを追跡できませんでした。そのため、2024年にWebbと脅威研究者のNate Appersonは戦略的脅威削減&インテリジェンス駆動ナレッジエンジン、またはSTRIKEを開始しました。
STRIKEは、グローバル脅威インテリジェンス、MITRE ATT&CKマッピング、およびNISTフレームワークを統合された統合モデルに統合することでサイバーセキュリティリスク管理を変革します。実際の敵戦術に対する可視性ギャップとコントロール有効性を定量化するリアルタイムスコアリングを提供します。また、脅威の可能性と準備に基づいてアクションを優先順位付けします。そして、技術設定に対して規定的なパスを提供し、改善と分析サイクルを近距離にすぐに減少させます。
Webbによると、STRIKEは、セキュリティアクティビティが脅威情報と一致し、全体的なサイバーセキュリティ戦略を推進することに貢献することを保証します。また、脅威ハンティングの有効性を測定するためのメトリクスを提供します。これは重要な利点です。
「脅威ハンティングを行うとき、または脅威ハンティングを完了するとき、出力は何ですか?ページの上部に脅威ハンティングを完了したことを言うチェックマーク以上のものが必要です」とWebbは説明しています。「私たちは組織全体でリスクを削減していることを示したいと考えています。」
従来のリスク管理がサイロ化されたフレームワークと主観的な優先順位付けに依存しているため、それは一般的な課題です、と彼は述べています。これにより、脅威インテリジェンス、コントロール要件、および技術的改善の間にギャップが残ります。
その課題を克服するために、STRIKEはアクティブな敵の行動を特定し、それらをMITRE ATT&CKテクニックに合わせて、リスク決定が実際の脅威に基づいていることを確認するために脅威インテリジェンスを実施します。STRIKEはまた、ATT&CKテクニック、NIST CSF関数、およびNIST SP 800-53コントロール間のリンクを作成し、どのコントロールがどの敵の行動を軽減し、ポリシー、プロセス、およびテクノロジー全体のギャップを強調するかを明確にします。さらに、Webbは、DISA STIGsを組み込むことで、STRIKEがコントロールギャップを閉じるための技術的なステップを提供していると述べています。
それはすべてを一体化させることは、STRIKEの検出&保護スコアリングフレームワーク、高リスク技術に対する可視性(検出)および防御強度(保護)を測定する定量的なモデルであり、スコアは脅威の可能性によって重み付けされ、動的に更新されます。
