TokyoBlackHatNews

securityweek.com 5分で読了

大きな断絶:セキュリティにおける「2つの別々の会話」を明らかにする

私はしばしば、実際には2つの別々の会話が行われている場面に遭遇します。それはどういう意味でしょうか?もしあなたが鋭い聞き手や観察者であれば、2人が全く異なる会話をしていることがいかに多いかに気付いたことがあるでしょう。

どちらかがそれに気付くことはほとんどなく、そのため多くの場合、人々は効果的にコミュニケーションを取るのが難しくなります。簡単に言えば、同じ会話をしていないのです。

私の言いたいことを説明するために、例を挙げてみましょう。数週間前、同僚と私はビデオ通話で一緒にプレゼンテーションのレビューと編集をしていました。あるスライドについて、私は口頭でフィードバックを伝えましたが、同僚の反応は私のフィードバックに合っていないように思えました。しばらくして、私は問題に気付きました。私は前日に書いたスライド上の特定のコメントについて話していたのですが、同僚はスライド全体について話していると思っていたのです。私は、彼が私が既に提供した書面のフィードバックについて話していると気付いていると思い込んでいました。彼は、私がスライドを読み込んだとき、彼の意図がスライド全体について話すことだと私が理解していると思い込んでいました。私たちが全く異なる会話をしていると気付いたとき、私は自分が提供した書面のフィードバックについて話していることを説明しました。その時点で、会話ははるかにスムーズに進み始めました――ついに同僚と私は同じ言語で話していたのです。

セキュリティの分野では、この例やこの概念から学べることがたくさんあります。私たちは何度、自分たちが話している言語が相手に理解されていないことに気付くでしょうか?自分たちが言っていることは明確で具体的だと思っていても、実際には全く逆だったと気付くことが何度あるでしょうか?実際、この課題は長年にわたり私たちの職業に悪影響を及ぼしてきましたし、これに対応する方法を学ばなければ、今後も長く悪影響を及ぼし続けるでしょう。

網羅的なリストではありませんが、2つの別々の会話がコミュニケーションを極めて困難にするいくつかの一般的なトピックを考えてみましょう:

  • AIセキュリティ:最近、多くの人がAIセキュリティについて話していますが、正直なところ、私たちは常に何について話しているのかをしっかり把握しているでしょうか?セキュリティ運用を向上させるために特定の分野でAIを導入する話でしょうか?それとも、アプリケーションに導入されたAI機能の保護やセキュリティの話でしょうか?あるいは、AI導入に先立って必要なガバナンスやコンプライアンスの基盤作りについて話しているのでしょうか?これらはすべて可能性があります。さらに、これらそれぞれについて、対象となる具体的なユースケースやその独自の要件に関する文脈的な質問も出てきます。ご想像の通り、会議やピアグループの集まり、業界イベントなどでAIセキュリティについて議論する場合、私たちが正確に何について話しているのかを理解することが非常に重要です。そうでなければ、皆が異なる会話をしていることになり、お互いに理解し合うことができません。
  • APIセキュリティ:APIセキュリティもよく議論されるトピックです。ご存知の通り、これは非常に幅広いテーマであり、セキュリティの組み込み/シフトレフト、予防的コントロール、脆弱性スキャン、機密データの露出、シャドウAPIの発見、ランタイム保護、検知的コントロールなど、さまざまな分野を指す場合があります。APIセキュリティは、これらすべての領域を包含する運用セキュリティ機能を指す場合もあり、既存の運用セキュリティワークフローにAPIセキュリティを統合するプロセスを指す場合もあります。要するに、APIセキュリティはさまざまな意味を持ち得ます。同じ会話をするためには、まず私たちが具体的に何について話したいのかを理解する必要があります。
  • 経営層/マネジメント:セキュリティ分野で働く多くの人にとって、一定の知識や経験を当然のものと考えてしまいがちです。また、私たち自身にとって重要で関連性のあることに焦点を当てがちで、相手にとって関連性のあることを見落としがちです。これは特に、セキュリティ専門家が経営層やマネジメント層と話す際に顕著に見られます。彼らは主に、収益の損失、顧客ロイヤルティの低下、コスト増加、規制やコンプライアンス問題、法的・開示上の問題、事業の戦略的・長期的リスクなど、ビジネスに対するリスクに関心を持っています。したがって、こうした相手にセキュリティの優先事項や課題、要望を伝える際には、彼らの立場を理解し、私たちの話すポイントを彼らの視点に合わせて伝える必要があります。もちろん、これは言うほど簡単ではありませんが、これがうまくできるセキュリティ専門家は、必要なリソースやサポート、認知を得る上で、はるかに成功しています。
  • ステークホルダー:セキュリティはますますミッションクリティカルなビジネス機能となっています。そのため、最近ではセキュリティチームがビジネスの場に参加することが一般的になっています。これは全体として良いことですが、同時にセキュリティ専門家がビジネスのステークホルダーの言語を学ぶ必要があることも意味します。ステークホルダーのサポートは、セキュリティ目標の達成やビジネスのセキュリティ体制の向上において非常に重要です。そして、セキュリティ専門家とビジネスのステークホルダーが全く異なる会話をしている場合、そのサポートを得て前進することは非常に困難になります。

コミュニケーションは芸術です。また、向上させるには努力と練習が必要なスキルでもあります。しかし、効果的なコミュニケーションは、良いセキュリティプログラムと優れたセキュリティプログラムの違いを生む可能性があるため、そのために時間とエネルギーを投資する価値があります。周囲と異なる会話をしていると、セキュリティ分野で前進できません。しかし、同じ会話をしていないと気付いたときにそれを修正する方法を学べば、私たちはこの分野として前進できるのです。

翻訳元: https://www.securityweek.com/the-great-disconnect-unmasking-the-two-separate-conversations-in-security/

ソース: securityweek.com
#2025年サイバーセキュリティ #AIセキュリティ #APIセキュリティ #エンタープライズコミュニケーション #ステークホルダー分析 #セキュリティプロフェッショナル #ビジネスリスク #情報共有 #経営層との対話 #誤解を招く表示

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯