ロブ・ライト, シニアニュースディレクター, Dark Reading
2025年7月24日
読了時間:5分
出典:Ivan Kmit(Alamy Stock Photo経由)
多くの組織は、専門家が「強固なセキュリティ文化」と呼ぶものを欠いており、そのために繰り返される攻撃や容認できないリスクに非常に脆弱な状態にあります。しかし、セキュリティ文化はゼロから構築できるのでしょうか?
セキュリティ文化は、組織が共有する戦略、ポリシー、視点の総体として広く定義されており、企業のセキュリティプログラムの基盤となります。長年にわたり、情報セキュリティのリーダーたちは強い文化の重要性を説いてきました。それは、組織のセキュリティ体制を強化するだけでなく、生産性や収益性の向上にもつながるからです。
セキュリティ文化は、昨年の厳しいCyber Safety Review Board(CSRB)によるMicrosoftへの報告書の後も注目されています。これは、中国の国家的脅威グループStorm-0558によるソフトウェア大手への大規模侵害の調査から生じたものです。CSRBは「Microsoftのセキュリティ文化は不十分であり、抜本的な見直しが必要」と2024年4月の報告書で指摘しました。特に、CSRBの委員は、Microsoftの全体的な企業文化が「企業のセキュリティ投資や厳格なリスク管理を後回しにしていた」と指摘しています。
おそらく偶然ではなく、その数か月後、AWSはre:Inforce 2024カンファレンスでセキュリティ文化を中心テーマに据えました。クラウド大手は、各サービス開発チームにリーダーを配置してベストプラクティスを推進し、セキュリティプロセスをより効果的に拡大する「AWS Security Guardiansプログラム」などの構造的側面を強調しました。新たに就任したAWS CISOのエイミー・ハーツォグ氏は、今年のre:Inforce 2025カンファレンスでDark Readingの取材に応じ、セキュリティ文化の重要性と、強固な文化を構築するために組織が必要とする中核要素について語りました。
文化はトップから始まる
アマゾンのセキュリティ文化で最も頻繁に言及される側面のひとつは、リーダーシップチーム、特に主要幹部の報告体制です。ハーツォグ氏によれば、AmazonのCSOスティーブ・シュミット氏と社長兼CEOのアンディ・ジャシー氏との直接的な報告関係が、同社のセキュリティ文化の鍵であり、この文化がAWSの顧客にも再現できると考える大きな理由だといいます。
今春AWSのCISOに任命される前、ハーツォグ氏は2年以上にわたり、Amazonの広告&デバイス部門および専門事業部門のCISOを務めていました。その間、さまざまな顧客組織と密接に連携し、こうした幹部報告体制とリーダーシップの有効性を目の当たりにしました。
「過去2年間、私の小規模な事業部門でその効果を実感しました」と彼女は語ります。「それらの事業とAWSの間には違いがありますが、その違いは製品が異なることによる必然的なものだと考えています。」
しかし、セキュリティ文化はフレームワークや幹部構造を超えたものです。ハーツォグ氏は、リーダーはセキュリティチームだけでなく、組織全体の従業員にとって効果的で生産的な環境を作るための正しい哲学とアプローチを持つ必要があると述べています。
ISACAの2024年サイバーセキュリティ現状レポートによると、情報セキュリティ専門家の3分の2が自分の仕事は5年前よりもストレスが多いと答えています。このレポートは、世界中の1,800人の情報セキュリティ専門家を対象に調査し、回答者の過半数が予算不足(51%)や人員不足(57%)に悩んでいることが明らかになりました。
ハーツォグ氏は、リーダーシップチームの従業員へのコミュニケーションの仕方を少し変えるだけで、良い効果も悪い効果も生み出すことができると述べています。
「もしあなたがビジネスリーダーで、何か問題が発生し、セキュリティチームに話しかけるとき、『どうしてこんなことが起きたんだ?』と尋ねるのが一つのアプローチです」とハーツォグ氏は言います。「それは特定の行動を引き起こします。」
そのような責任追及型のアプローチは、さらなるストレスや士気の低下、組織の使命への自信喪失につながる可能性があります。そして、それは多くの組織ですでに課題となっている人材の定着にとって、より大きな障害となり得るとISC2の2023年サイバーセキュリティ人材調査は指摘しています。より良いアプローチがあります。
「もう一つの質問の仕方として、私たちが社内プロセスで使っているのは『どのようにシステムが構築されていたから、こうしたことが起きる可能性があったのか?』というものです」と彼女は言います。「つまり、チームとして何をしなかったから、この可能性が生まれたのか?という問いです。これにより、異なる行動が生まれます。」
成功の再定義
ハーツォグ氏によれば、セキュリティ文化の構築が難しい大きな理由は、多くの組織が単に成功の定義を誤っていることにあります。「もしビジネスチームにとっての成功が『今四半期に出荷することで、来四半期に何が起きても気にしない』というものなら、正しい成果は得られません」と彼女は言います。
その代わりに、組織は長期的な視点を持ち、セキュリティが長期的な成功に不可欠であることを理解する必要があります。良いニュースとして、ハーツォグ氏によれば、セキュリティはもはや開発者にとって過去のような障害ではありません。かつての「箱の中の思考」、すなわちすべてをチェックするために開発プロセスを止めるのが当たり前だった時代から、新しいアプローチへと移行しています。
「ソフトウェア開発が、要件を最初に固めるウォーターフォール型から、継続的なイテレーション型へと変化したことが、私が楽観的でいられる最大の理由です」とハーツォグ氏は述べています。「そして、セキュリティコミュニティもその力を本当に理解し、活用する準備ができていると思います。」
製品開発には依然として課題があります。例えば、ハーツォグ氏によれば、長期的な認証情報は組織にとって重大なリスクとなり、開発者によく使われています。そのため、セキュリティチームの課題は、開発チームが短期的で一時的な認証情報をより簡単に使えるようにすることです。
こうした課題があるにもかかわらず、ハーツォグ氏は、テクノロジー業界が今日、安全な製品やサービスを大規模に構築できるという点で「意味のあるほど異なる場所」にいると考えています。他の業界の顧客組織は異なる製品開発プロセスを持つでしょうが、同じ教訓が当てはまるとハーツォグ氏は信じています。
「このような文化的なプレイブック――私たちは皆、顧客に奉仕するためにここにいる、顧客には期待があり、その信頼を得て維持する必要がある、これが私たちが作る製品であり、その姿であり、私たちはこうやって一緒に作っていく――というものが、他の事業部門でも見られたので、私は非常に楽観的です。」