コメント
サイバーセキュリティの急速に進化する世界では、最新の技術トレンドの話題や注目を集めるデータ侵害のパニックに巻き込まれやすいです。状況がますます複雑になる中、脅威はより洗練され、広範囲に広がっています。2024年だけで、3,158件以上の公に報告されたデータ侵害が世界中で発生し、被害者数は前年から211%増加しました。
ゼロトラストソリューション、サードパーティリスク管理プラットフォーム、およびクラウドアクセスセキュリティブローカーは有用な追加手段となり得ますが、成功するセキュリティプログラムの中心にある基本的な実践を置き換えることはできません。リスク管理、ベンダー関係、および人事決定は、セキュリティプログラムを将来にわたって保護するための鍵です。
リスク管理: 科学ではなく芸術
セキュリティには、ISO 27001のようなフレームワークにのみ頼るのではなく、微妙な判断が必要です。これらは貴重なガイドラインを提供しますが、脅威の動的な性質は絶え間ない警戒と適応を要求します。ISO 27001のような認証を持っていても、組織は独自の環境で特定のリスクに対処するためにコンプライアンスを超える必要があります。
組織の攻撃面を定義し、保護の優先順位を決定することは完全に自動化できません。特に、各組織が独自の脅威の状況で運営されているためです。例えば、金融機関は詐欺のリスクに直面し、医療提供者は機密患者データへの脅威に対処しています。役割ベースのアクセス制御(RBAC)と強力な構成管理の組み合わせは、アクセスと構成オプションを制限することで人的エラーを軽減するのに適しています。これらのような自動化手段は効率を助けることができますが、複雑なシナリオを評価するためには人間の監視が依然として重要です。
EUの一般データ保護規則(GDPR)、健康保険の携行性と責任に関する法律(HIPAA)、および支払いカード業界データセキュリティ基準(PCI DSS)などの規制へのコンプライアンスは影響を受ける組織にとって必須ですが、すべての組織は規制要件を超えるリスクを積極的に管理する必要があります。技術が進化するにつれて、組織の攻撃面に対する理解も進化しなければなりません。それは依然として非常に個別化され、絶えず変化する課題であり、自動化で解決することはできません。
ベンダーの評価(および再評価)
ベンダー関係は、セキュリティに関する広範な議論の中で見過ごされがちですが、それはパズルの重要な一部です。多くの場合、組織はコストや特定のセキュリティギャップを埋めるためだけにベンダーを選択します。しかし、組織が進化するにつれて、パートナーシップも進化するべきです。
関連:オープンウェイトの中国AIモデルがLLMにおけるプライバシーイノベーションを推進
成功基準を事前に定義し文書化することが重要です。これには、稼働時間、応答時間、コスト効率、コンプライアンスなど、両者にとっての成功がどのように見えるかを示す明確な指標が含まれます。最近のSprintoのレポートは、効果的なベンダー評価と再評価の基礎を築いています:
-
成功のための明確な指標を設定する、例えば稼働時間、応答時間、コスト効率、コンプライアンス遵守など、組織の目標と一致させるために。
-
エンジニアとセキュリティスペシャリストを含める、ベンダー選定プロセスにおいて、ソリューションが特定の技術的および運用上のニーズに対応しているかどうかを評価するために。
-
類似の組織との経験を評価する、過去の課題と成功を理解するために、同様の業界での経験を持つベンダーを選ぶ。
-
継続的な脅威評価を提供するベンダーを選ぶ、自動アラートと定期的な更新を提供し、進化するサイバーリスクに先んじるために。
-
カスタマイズ可能なソリューションを提供するベンダーを選ぶ、ビジネスの成長と変化する規制要件に適応できるように。
ベンダーが評価された後でも、ベンダーの話題性と実際のパフォーマンスには違いがあります。特定の技術の必要性、および関連する技術ベンダーも関連性があり、必要に応じて再評価されるべきです。定期的なチェックインは、ベンダーの提供と組織の進化するニーズとの間の不一致を避けるために重要です。成功指標を事前に定義し、技術チームをベンダー選定プロセスに参加させ、期待を文書化し、可能であれば評価や概念実証を成功させることで、ベンダー関係が時間とともに価値を提供し続けることを確保します。
関連:TenableがAIセキュリティスタートアップApexを買収
認定よりも能力を重視した採用
サイバーセキュリティの人材不足はよく知られていますが、従来の認定や学位は、現場で成功するために必要な実際のスキルを反映していないことが多いです。新しい脅威やツールが日々出現する状況では、技術的スキルとソフトスキルの両方を考慮したより包括的な採用アプローチが考慮されるべきです。
コアなサイバーセキュリティの原則を深く理解し、新しい技術に適応できるセキュリティ専門家を見つけることが不可欠です。対人スキル、協力、非技術的なステークホルダーに複雑な概念を伝える能力は、技術的な知識と同様に重要です。バランスの取れたセキュリティチームには、批判的に考え、チームと共に成長し、理論を実践的な解決策に変換できる専門家の採用が必要です。
セキュリティ教育も進化するべきです。技術的スキルを教え、認定をサポートすることは、ビジネス内でのセキュリティの役割に対する広範な理解を育むことと同様に重要です。セキュリティ専門家が新しいビジネスイニシアチブがどのようにリスクをもたらすか、またはコンプライアンス要件がどのように変化するかを理解すると、適応的で未来志向のセキュリティ戦略を形作るのに役立ちます。同様に、会社全体が自分の役割が会社のサイバーセキュリティリスクにどのように関与しているかを理解し、明確なベストプラクティスを備えている場合、より強力なセキュリティ姿勢に積極的に貢献できます。
持続する課題
サイバーセキュリティの基本的な課題である人の管理、リスクの評価、堅固なベンダー関係の構築は、何十年もほとんど変わっていません。サイバーセキュリティアプローチを本当に将来に備えるためには、セキュリティプログラムが現在および将来のビジネスの要求に柔軟に適応できることを確保することが重要です。