取締役会に専任の席を持たないCISOは、重大な可能性があるセキュリティ上の知見を軽視するよう、絶えず圧力にさらされています。
CISOたちは高度化し続ける攻撃、変化するコンプライアンスおよび規制基準、そして侵害が実際に発生した際に会社と自身に何が起きるかという絶え間ない不安と格闘しています。ストレス、プレッシャー、責任追及、そしてパニック——これらはCISOという役職と切っても切り離せないものになっています。
Checkmarxが最近発表したレポート「The Future of Application Security in the Era of AI」によると、CISOの95%が「コンプライアンス関連のセキュリティ上の知見を隠蔽または遅延するよう圧力を感じている」と回答しています。このレポートは開発者、アプリケーションセキュリティマネージャー、CISOの計2,350人を対象に調査を実施しており、懸念すべき結果が浮かび上がっています。
Checkmarxのリサーチ・アドボケートであるDarren Meyer氏にとって、この95%という数字は驚くべきものではありませんでした。実務家として、彼自身もCISOに情報開示を促す立場に置かれた経験があります。
「一方では開示への圧力があり、もう一方では『まだ言わないでほしい。しっかりした解決策が出るまで黙っていてくれ』という声がある」と、Meyer氏はDark Readingに語っています。
高まるプレッシャーは透明性に影響を与えます。また場合によっては、情報を開示しないことが顧客や企業に重大な影響を及ぼすこともあり、侵害が法的措置につながるケースでは特にその影響が大きいと、同氏は指摘しています。
脅威は内部から
CISOが受けるプレッシャーは一方向からだけではありません。取締役会、広報(PR)部門、製品・営業チームなど、複数の方面から圧力がかかってきます。「決算発表前にこの件を話すな」といった形で、タイミングを気にするC級幹部からの警告もあると、Meyer氏は明かしています。
それは必ずしも沈黙を求めるものではなく、むしろ「待つ」ことへの要求です。リリースのタイムラインが主要な要因の一つであり、製品を市場に出す必要があるからと、CISOに待つよう求めるケースがあるとMeyer氏は述べています。
顧客への貢献、市場での先行優位、脆弱性を攻撃者に悟られたくないという思惑、そして開示と透明性の確保——これらの間でバランスを取ることが求められると、同氏は話しています。
「どう考えても簡単な判断ではなく、CISOはあらゆる方向からの圧力の中で正しい判断を下さなければなりません」とMeyer氏は語っています。
開示すべきか、せざるべきか
CISOは、パニックを最小限に抑えたいという思いと、透明性を確保したいという使命感の間で板挟みになります。脆弱性、ランサムウェア攻撃、あるいは企業のセキュリティ態勢に対するリスクといった「悪い情報」に対して沈黙を求める圧力が、四方から押し寄せてくるのです。
脆弱性が「誰もが本当に心配するほど深刻ではない」場合、開示の判断はさらに難しくなるとMeyer氏は説明します。環境上の制御に自信がある場合や、悪用リスクが低い場合がその典型例です。
しかし同氏によれば、セキュリティ部門以外やC級幹部の中には、脆弱性の開示が必ずしも悪いイメージにつながらないという認識が欠けているケースも多く、むしろ責任ある姿勢を示すことにもなります。
「開示を望む優秀なCISOは、まず周囲を説得するという困難な戦いを強いられます。なぜかといえば、ジャーナリストは何を報道するのか、何が一面を飾るのかを考えれば分かります。『企業が軽微な脆弱性を責任ある形で開示した』というニュースは、一面にはなりません」と同氏は問いかけています。
権限を持てないCISO
プレッシャーは現実のものとして、肌で感じられます。しかし、それが直接的に伝えられることはほとんどないと、ChainguardのCISOであるJohn Sapp氏も同意します。多くのCISOが実際に直面しているのは、競合するビジネス上の優先事項と、より少ないリソースでより多くの成果を求められるという期待だと、同氏は付け加えています。
経営幹部は財務状況と業務の円滑な継続を重視します。サイバーセキュリティのリーダーも同じ目標を持っていますが、セキュリティへの投資はコストとして捉えられがちで、それが防いでいるリスクはインシデントが実際に起きるまで数値化しにくいと、同氏は指摘しています。
「CISOは組織のデジタル資産を守るために採用されています。しかし実際には、リスクを完全に管理するために必要な権限、影響力、リソースを持っていないことが多い」とSapp氏はDark Readingに語っています。「その結果、CISOはセキュリティ戦略と意思決定を弁護する立場に立たされながら、セキュリティ上の知見がリスク低減とレジリエンス強化のための重要な洞察としてではなく、ビジネス目標の障害として見なされるという現実に頻繁に直面しています。」
Sapp氏が観察してきたこのプレッシャーの最大の要因の一つは、コンプライアンスを運用上のレジリエンスの一要素としてではなく、チェックボックスを埋める作業として扱う傾向です。業界の他の専門家たちと同様、同氏もサイバーインシデントは「もし起きたら」ではなく「いつ起きるか」の問題だと警告しています。コンプライアンスはそれを反映し、最終目標になるのではなく、備えを支えるものでなければならないと主張しています。
「問題をさらに複雑にしているのは、多くの規制に解釈の幅が大きく残されていること、そして施行が一貫していないことです」とSapp氏は述べています。「これにより、何がコンプライアンスを満たすのか、要件がどのようにビジネスに適用されるのか、セキュリティ上の知見をどう伝え、優先順位付けすべきかについて、意見の対立が生まれやすくなります。」
組織はプレッシャーを軽減できるか
SappとMeyerの両氏が一致して指摘するのは、CISOをビジネス戦略の議論に他のC級幹部と並んで参加させることが、プレッシャーを和らげる有効な手段だということです。テクノロジーはほぼあらゆる企業に深く組み込まれており、セキュリティは収益、業務運営、そして顧客からの信頼に直結しています。
「組織はサイバーセキュリティをビジネス上の優先事項と切り離して考えることをやめなければなりません」とSapp氏は強調しています。「強固なセキュリティとレジリエンスのプログラムを構築すれば、コンプライアンスは最終目標ではなく、自然な結果としてついてきます。」
これはMeyer氏の見解とも共鳴しています。同氏は、重大な問題が起きる前に、信頼関係を築き、透明性がプラスの効果をもたらすという認識を醸成しておくことを勧めています。日常的な情報開示がいかに価値をもたらすかを、C級幹部や取締役会に対して事前に教育しておくことが重要だと付け加えています。
「プレッシャーのない状況でそれをやっておけば、何かが起きたときに自分自身が楽になります」とMeyer氏は語っています。
C級幹部の一員となることは助けになりますが、同時に懸念も生じます。それほどの影響力と権限を持つCISOの存在は、企業がセキュリティ上の問題を抱えているとのシグナルとなり、市場からの見方に影響しかねないとMeyer氏は述べています。
「CISOがC級幹部であることが透明性の問題解決に役立つか? 間違いなくそうです」と同氏は言います。「それが割に合うかどうか? それはもっと難しい問いです。」
翻訳元: https://www.darkreading.com/cyber-risk/most-cisos-report-pressure-to-bury-bad-security-news
