1人のCISOの専門知識より優れた防御があるとすれば、それは多くのCISOの専門知識を結集したものです。
近年、クローズドなCISOコミュニティは数を増やし、規模も拡大しています。これらは情報交換の場であり、助言の拠点であり、圧力を逃がす弁であり、厳しい監視からの避難所でもあります。
必要性は明白です。CISOはビジネスにおいて独特の立場にあります。事業運営との統合が進んだにもかかわらず、能動的かつ適応的な脅威に対抗しようとしている唯一のビジネスリーダーであり続けています。それでいて、ビジネスの他部門からは十分に理解されていない役割でもあります。彼らのニーズ、不満、プレッシャー、そして敵対者について語り合える唯一の他のリーダーは、他のCISOです(とはいえ、1001社の製品ベンダーが「理解している」と主張し、高価なソリューションを提示します)。
CISOには、同業のCISOと仕事(およびその他の共通課題)について議論するためのチャネルが必要です。自然は真空を嫌うため、CISOコミュニティは、ある種の自動的なオートポイエーシス(自己生成・自己管理)とみなせるプロセスの中で自然発生しました。こうしたコミュニティの誕生は必然だったとはいえ、コロナ禍のロックダウンがその出現を後押ししました。それ以前も、そして今も、CISOは主要なサイバーセキュリティ会議で小規模に集まり、互いに話し合っていました。しかしパンデミックの最盛期にはそれが不可能となり、これらのグループは代替の集まり方を見つける必要がありました。
現代のコミュニケーションシステムが明白な答えを提供しましたが、その結果は劇的でした。年に1〜2回、数人のCISOが会う小さな集まりから、数百人規模のCISOが常時コミュニケーションするコミュニティへと進化したのです。
現在では、多くの国に多様なCISOコミュニティが存在します。業界の縦割りセクターに焦点を当てたものもあれば、言語や地政学的優先事項が異なる地理的地域に焦点を当てたものもあります。そしていずれも外部者には閉ざされています。
仕組み
仕組みは、今日の技術を使えばシンプルで明快です。好まれるチャネルはSlack(特に米国)とWhatsApp(特に欧州)です。第一の要件は、内部の会話を閉じ、外部世界から保護できることです。
コミュニティの規模は、十数人から数百人規模までさまざまで、しばしばテーマ領域(業界の縦割りセクター)や地理的地域を軸にグルーピングされます。大規模グループでは会話は比較的センシティブでなくなる傾向があり、センシティブな話題は小規模グループに限定されます。ある意味では、包括的コミュニティの規模は重要ではありません。センシティブな話題を提起し、関心のある人だけが会話の期間中、別グループに分かれて議論すればよいのです。
運営は主としてコンセンサスによって行われます。どのシステムにも管理者は必要ですが、モデレーターは置かれません。「同じ立場の仲間が協力し合うためのものなので、何が公開され何が公開されないかに『承認』権限を持つ人がいるのは、単純に間違っています」と、あるフィンテック企業のCISOは述べています。
コミュニティは無法地帯ではありません。参加者は上級幹部であり、互いの機密保持に対する尊重と信頼があります。行動規範は明文化されている場合もそうでない場合もありますが、ルールの中心は受け入れ可能な良識ある振る舞いです。チャタムハウス・ルールという基本法則でさえ、正式化されている場合もそうでない場合もありますが、普遍的に受け入れられています。
高い相互信頼で機能するコミュニティが、誰にでも開かれた出入り自由であり得ないのは当然です。入会方法はコミュニティごとに異なります。基本原則は「CISOのみアクセス可能」ですが、すべてのコミュニティが100%それを維持しているわけではありません。
ウェブサイトを持ち、そこから入会申請できるコミュニティもあります。別のケースでは、既存メンバーが評判の良い他のCISOを推薦し、推薦と承認の組み合わせを求めることもあります。
追放は稀ですが起こり得ますし、自然な退会もあります。コミュニティは、退会者が機微情報を持ち出すことよりも、コミュニティ内部から「売り込み」をしようとする、いわゆる“暴走した”営業志向のCISOをより懸念しているようです。
セキュリティのエコスフィアはあまりに急速に変化するため、先週は機微情報だったものが今週には陳腐化してしまいます。「セキュリティの変化のスピードを考えると、その情報はすぐに無関係になります。だから、私たち全員が置かれている変化の速度を踏まえれば、大きなリスクだとは見ていません」と、Jadee Hanson(VantaのCISO)は説明します。
追放の原因のほうが、より一般的な懸念事項です。「私たちが望まないのは、営業的な視点でチャネルを濁すことです。誰も売り込まれたくありません。予算は厳しく、私たちは皆、ただ正しい戦いを続けようとしているのです」と、別のメンバーは説明します。
Hansonはこう付け加えます。「コミュニティから外される主な理由は、私のようにセキュリティ企業で働くCISOが、コミュニティを営業に活用しようとする場合です。そうすれば確実にコミュニティから排除されます。」
信頼に基づいて築かれたこれらのコミュニティにおける信頼の喪失も懸念材料です。チャタムハウス・ルールは、コミュニティ外に共有してはならない情報であることを強調するレッドフラッグ制度によって支えられることがあります。「これは赤だ。コミュニティ外に共有してはならない。」そして、誰かが共有されたことを突き止めた場合、それもまた当人がコミュニティから外され得る理由になります。
CISOのみの会員制に重点が置かれているにもかかわらず、一部のコミュニティでは驚くべき要素が起こり得ます。個々のCISOはメンタリングに積極的であり、コミュニティも例外ではありません。「CISOを目指す人、あるいは明らかにその道を歩んでいる人は」と、Trey Ford(Bugcrowdの元CISO(米州担当)で、現在はBugcrowdのChief Strategy and Trust Officer)は説明します。「未来に投資するために、入会を認めることがあります。こうした人たちは、経験豊富な他者から履歴書に厳しい指摘を受けたり、面接準備を手伝ってもらったり、プレゼン計画へのフィードバックを得たり、総じてコーチングを受ける必要があります。」これはコミュニティからのアウトリーチによって行うことも、候補者をコミュニティに含めることで行うこともできます。
建設的な会話のための安全な避難所
「これらは信頼のコミュニティであり、全員が経営レベルの責任、そして雇用主に対する注意義務と忠誠義務を負う人々のコミュニティです」とFordは述べます。「彼らは、自分自身より広い視点を、同じ責任を持ち同じレベルにいる他の経営層から得たいのです。」
したがって、議論の対象にタブーはありませんが、話題は自然に選別されます。メンバーが手を挙げて「〜について話したい」と言うことができます。賛同者がいなければ、その話題は立ち消えになります。しかし、他者にとって関心や重要性があれば、関心のある人たちは、主要構造の中で、あるいは別構造として、より小さなクローズドグループに分かれて議論できます。1人のCISOが複数のコミュニティに所属することもあります。
情報共有。 脅威情報の共有は、明らかにコミュニティの主要目的です。政府支援のグループ(ISACおよびISAO)はすでにこの目的で存在しますが、それでもクローズドなCISOコミュニティの台頭を防ぐことはできませんでした。両アプローチの運用上の違いは、コミュニティの目的と、なぜこれほど人気があるのかを示しています。
ISAC(情報共有・分析センター)は、1998年の大統領決定指令(PDD)を受けて創設されました。重要インフラのセキュリティ向上を支援するために設計されたものです。ISAOは、2015年2月のオバマ大統領の大統領令13691の後に登場しました。後者は前者を基盤としつつ、ISACの従来のセクター特化の範囲を超えて情報共有を広げることを目的としています。
政府支援組織と、有機的・自発的なCISOコミュニティはいずれも脅威インテリジェンス共有という中心目的を共有していますが、直接的な共通点は多くありません。そして、その違いはコミュニティの価値を理解する上で示唆に富みます。
Fordは説明します。「個人間の信頼は明示的です。組織間の信頼は暗黙的です。政府支援の安全な場を作り維持するために必要な法務・組織的努力は、信頼レベルを暗黙的なものに制約します。つまり、人と人ではなく会社と会社の信頼です。しかし私は、別のセキュリティ幹部とビールやコーヒーを飲みながら座って、明示的に話し、調査や問題、故障モード、その他さまざまなことについてメモを共有できます。人員配置や人材、新たに発覚した脆弱性、最新のlog4jにどう対応しているか、といったことも話せます。」
これはISACとコミュニティのもう一つの違いを浮き彫りにします。ISACやISAOのようなハブ&スポーク型システムでは、データ取り込みから情報配布までに必ず遅延が生じます。しかしコミュニティは、ほぼリアルタイムで実行可能な情報に基づく協働を提供します。
Hansonも、個人的信頼とコミュニティの即時性がもたらす複合的価値を強調します。「年に一度のISAC会合からは得られません。でもSlackで毎日話していると、相手のことが分かってきます。」
要するに、ISAC/ISAOかコミュニティか、という問題ではなく、ISAC/ISAOとコミュニティの解決策なのです。
相互支援。 支援にはいくつかの形があります。重大インシデント後の感情的・実務的支援であったり、スケープゴートにされた場合に次に何をすべきかの助言であったりします。(「この業界では、Joe SullivanやTim Brown、そして進行中の訴訟や懸念がある他の事例を見れば十分です」と、あるメンバーは述べています。)
「コミュニティのメンバーが話したいことがあれば、人々はそのための時間を作り、互いに支え合います」とHansonは付け加えます。
コミュニティの主要機能は支援であると、Intigritiのセキュリティ&IT責任者であるNiels Hofmansは続けます。「CISOであることは、独特の課題が多いニッチな状況です。まったく同じ問題を抱える人や、以前に同じ課題を経験した人を見つけられます。」
助言。 「ネットワーキングも大きな利点です」とHofmansは示唆します。「私たちは常に現場の塹壕に頭を突っ込んでいるか、会社の代表としての立場に置かれているので、現場の課題や個人的経験について自由に話すのが難しいことがあります。」製品情報はしばしば有用ですが、CISOは一般に“意見”を信用しません。それでも、同じCISOの見解ならいつでも受け入れます。「満足しているベンダーについて、フィルターなしの意見を共有できるのは本当に有益です。悪いベンダーに全振りしてしまうのを防ぎ、多くの手間を省けるかもしれません」と、あるCISOは述べています。
コミュニティによっては、特定のベンダー技術チャネルがあり、メンバーが協力してトラブルシュートしたり、異なるベンダーや新製品について情報を比較したりします。
求人機会や人員確保の難しさも議論されます。CISOがより大きな責任を伴うポジションへ移りたいと考え、特定の転職先を検討していることもあります。しかし当人が知らないのは、その会社が毎年1人のペースでCISOを消耗させてきた歴史を持つかもしれないということです。それ自体が悪いとは限りませんが、コミュニティはその原因について洞察を持っている可能性が高く、それが悪い理由である場合もあります。
Fordは述べます。「たとえば、ワイリー・コヨーテとロードランナーで有名なACME社が、6年で5人目のCISOを採用しているのを見たら、問いを立てるべきです。なぜなのか?採用プロセスの失敗なのか、それともリーダーシップ、スポンサーシップ、組織の優先順位の問題なのか?だから、メンバーがその会社を検討しているなら、『ねえ、過去5年でそこにいたJimやJennyやJoeに話してみて』と言える。転職を考えるときに、前任CISOの意見を得る素晴らしい方法です。」
求人機会や推薦はCISOに限らず、チームにも波及します。経済的圧力や企業合併はセキュリティチームの縮小につながり得ますが、優秀で将来有望なセキュリティエンジニアを手放さざるを得ないのはつらいものです。近く利用可能になる人材を、関連する欠員を持つ可能性のある他のCISOに知らせることは、仲間のメンバーを助けるだけでなく、サイバーセキュリティ業界全体のスキル水準を維持する有効な方法でもあります。
メンタルヘルス。 自分自身と企業内チーム全体の健康を維持することは、すべてのCISOにとって最重要の関心事です。十分に、かつ高度に機能するチームがなければ仕事は成り立ちません。ところが、その仕事自体が、人々の有効性を阻む重大で拡大しつつある健康問題の主因でもあります。より具体的には、燃え尽き(バーンアウト)というメンタルヘルスの問題です。バーンアウトは深刻で、当事者は仕事に集中できなくなります。
これは意志の力で制御できるものではありません。進行すると脳の働き方が変わってしまいます。原因は複数の要因が寄与し得ますが、圧倒的に主要な原因は継続的ストレスです。そしてストレスは、サイバーセキュリティで働くことのほとんど職務記述書のようなものです。Fordはこの仕事を「ほとんどシーシュポス的」とまで呼びます。つまり、終わりがなく徒労に近いということです。
CISOはチームでバーンアウトの兆候を見逃さず、発生を防ごうと最善を尽くします。しかし、監視者を監視するのは誰でしょうか?誰もいません。「友人や家族に日々の仕事のストレスを話すと、ただ愚痴っているようになってしまうし、彼らは私が何をしているのか本当には分かりません。でもこうしたコミュニティでは、分かるんです。そういう会話や対話をするための安全な場所です。」
あるフィンテック企業のCISOは、メンタルヘルスは話題になるが、必ずしもメインチャネルではないと指摘します(おそらくCISOの大半が依然として男性で、男性は個人的なメンタルヘルスの懸念を認めたり話したりしにくいからでしょう)。「でも、ビール片手の小さなグループでは、バーンアウト、規制への苛立ち、理解できない脅威と戦っているという告白など、個人的なことを話すのがますます普通になっています。」
Hansonもバーンアウトが話題になることに同意しますが、「誰もが見られる一般チャネルで話されるとは思いません。でも、他のセキュリティリーダーと信頼できる同盟関係を築けば、確実に話されます。私たちは分かっています。この役割がどれほど困難か理解していますし、誰かが苦しんでいるのを見れば、私たちはたいていそのCISOに寄り添います。とてもコミュニティ・ファーストなことです。私たちが話す多くは仕事や難しい問題、そして各社が難題をどう解決しているかです。でも結局のところ、コミュニティはメンバーを深く大切にしているので、私たちは互いのためにそこにいるのです。」
CISOコミュニティ
コミュニティは興味深い社会学的現象です。共有された目的とアイデンティティを持つ集団が、人間のシステムとして集まるものと定義できます。あらゆるシステムと同様に、規模が大きくなるほど、何らかのガバナンスや階層構造が必要になります。
人類学者ロビン・ダンバーは、150人を超えるコミュニティには相互作用を管理するための正式な構造が必要だと提唱しました。CISOコミュニティは数千人規模にもなり得ますが、それでも正式な管理や人的構造は避けられています。代わりに、現代のコミュニケーション技術がそれを提供しています。
小規模で専門的なサブコミュニティは、はるかに大きなSlackやWhatsAppコミュニティの中に存在でき、技術が非公式で動的な階層を支援します。これにより、大規模コミュニティが持つ幅広い知識のプールを制限することなく、焦点を絞った相互作用が維持されます。
実質的に、1つの大きなコミュニティは多くの小さなコミュニティを内包でき、1人のメンバーが、より広いコミュニティという傘の下で複数のサブコミュニティに所属できます。やり取りは非常に小さなグループ内で行われることもあれば、1対1の会話で行われることもあります。その結果、テーマへの集中を失うことなく数の力を得られ、これらのコミュニティの効果はサイバーセキュリティ防御を改善し、CISOの有効性を高めます。
要するに、CISOコミュニティは、CISOを強化し、サイバーセキュリティ防御を改善し、悪意ある敵対者からの攻撃の影響を緩和するのに役立つ秘密兵器となっています。
翻訳元: https://www.securityweek.com/ciso-communities-cybersecuritys-secret-weapon/
