高パフォーマンスなサイバーセキュリティチームを構築するための6つの戦略

長年セキュリティ責任者を務めてきたGeorge Gerchowは、チームを作るために一流のセキュリティエンジニアと開発者を求めていた。

Gerchowはこうした人材を「スーパースター」と考えていた――そして彼らは多くの面で、その期待に応えた。彼らは野心的で行動力があり、「入ってきて、文字どおり圧倒的な成果を出す。素晴らしい仕事をするが、その後は次へ移ってしまう」のだ。

Gerchowは、そうしたスーパースターの寄せ集めでは高パフォーマンスなチームにならないことに気づいた。彼が定義する高パフォーマンスなチームとは、会社を守るためにうまく協働し、主体的に関与し、互いに、そして事業部門との間に信頼を築けるチームだ。優れたチームを作るには、より良い人材タイプの組み合わせが必要だと悟った。

そのようなチームは、努力なしにはまとまらない。「誰もが、より良いチームづくりに取り組む必要がある」とGerchowは言う。

ここでは、彼と他のベテランのセキュリティリーダーが、そのための6つの戦略を共有する。

1. 多様性のあるチームを作る

過去にCISOとして、1種類の人材だけでは最良のチームにならないと学んだGerchowは、採用・雇用のやり方を変えた。彼は、イノベーションや大きな取り組みのために採用する、非常に野心的なエンジニア（他のプロジェクトを追って在籍期間が短くなりがち）と、彼が「ロックスター」と呼ぶ人材――日々のルーティン業務を巧みに確実にこなす、勤勉で集中力のある人材（セキュリティ部門の責務の大半を占める）――のバランスを取ろうとした。

「その両方の मिश्र（ミックス）が必要だ」と、現在Bedrock SecurityのCSOでありIANS Researchの教員でもあるGerchowは言う。

Gerchowはまた、多様なバックグラウンドを持つ人材の採用も提唱している。「異なる背景を取り入れることで異なる視点が得られ、それをセキュリティ戦略に取り込むのは素晴らしい。異なるシナジーが生まれる」と述べる。

2. ミッションを明確にする

プロフェッショナルサービス企業Deloitteで米国のサイバー防衛・レジリエンスを率いるSharon Chandは、高パフォーマンスなチームの特徴として、チームのミッションに対する整合（アラインメント）を挙げる。

そのためには、チームメンバーがミッションが何であるかを理解し、それにコミットする必要がある。

「リーダーが言語化した、非常に明確なミッションでなければならない」と彼女は言い、ミッションは全員が何をすべきかの指針になると説明する。

CISOは、セキュリティ部門のミッションは明確だ――あるいは「脅威から組織を守る」と単純に言えばよい――と考えがちだ。しかしChandは、業界やビジネスに基づき、その組織固有のリスク、脅威、セキュリティ優先事項について明確さと具体性を与えるミッションこそが、チームに結束の対象となる目的と、「いちいち確認して上にエスカレーションしなくても」行動できる方向性を与えると言う。

その意味で、明確なミッションはスピードを可能にするとChandは言う――攻撃のペースが加速している時代に、セキュリティチームに必要な特性だ。

「高パフォーマンスなチームの印は、チームがビジネスの成功を支えるうえで自分たちの役割を理解していることです。なぜなら、重要アラートを減らすことや、一定のSLA内でインシデント対応することだけではなく、ビジネスが継続して回り続けることを確実にすることだと理解しているからです。それが目的意識とモチベーションにつながります」とChandは付け加える。

Gerchowも、明確なミッションが強いチームづくりに役立つことを実感している。「コンプライアンスのために何かをやれと言っても、開発者はワクワクしない」と彼は言う。「しかし、リスクやビジネスを前進させる話をし、ビジネスにとってのメリットという観点で語れば、そうではない。」

3. ミッションを果たせるようチームに適切な装備を与える

高パフォーマンスなチームには、ミッションを果たすための適切なトレーニング、ツール、手法が必要であり、サイバーセキュリティの領域でもそれは同じだとChandは言う。

もちろん、CISOにスタッフが挙げるあらゆるニーズを賄える無制限の予算はない。だからこそ、メンバーの強みを把握し、どこに追加のトレーニングが必要か、どのツールを最も最適化できるか、どこに改善の焦点を当てるべきかを見極め、戦略的に進めることが重要だ。

「CISOは、ミッションに合致するようスキルを進化させるために、適切なトレーニングとテクノロジーで彼らを支援する必要があります」とChandは付け加える。

それには今、セキュリティチームが人工知能を活用して役割を変革できるようにすることも含まれると彼女は言う。「データと分析を使うこと、そしてAIを別のやり方で使う方法を教えるのです。」

AIの活用はチームパフォーマンス向上の能力も高めるとChandは指摘する。セキュリティ部門でAIの利用をスケールさせることは「余力（帯域）を生み出し」、CISOとスタッフがリアクティブなモードから抜け出し、スキルアップのための時間とリソースを確保できるようにする。

4. 優先順位付けを徹底する

サイバーセキュリティ企業OptivでクライアントアドバイザリーのフィールドCISOを務めるNathan Wenzlerは、CISOが優先順位の設定と伝達をより上手く行い、メンバーが時間と労力をどこに集中すべきかを理解できるようにすることで、高パフォーマンスなチームを構築できると言う。

「業界では長い間、すべてをやり切ることはできない、すべての脆弱性にパッチを当てることはできない、コードのすべての行を直すことはできないと分かっています。やるべきことが多すぎて、すべてをやるリソースがありません。だから優先順位付けが正しい道なのです」と彼は言う。「多くの人がやっていると言いますが、うまく実行できていない人も多い。」

セキュリティツールのデータを統合して脅威と脆弱性の全体像を作り、セキュリティ戦略をビジネスに整合させるCISOは、優先事項の明確化ができ、チームをより適切に導けるとWenzlerは言う。

「これは簡単に解ける問題ではありません」と彼は付け加える。「しかし解決できたところでは、どこが最もリスクが高いかを同じ尺度で比較しやすくなり、どの作業を優先して進めるべきかを決めるのがずっと容易になります。」

5. ビジネス側の同僚との関与を高めるためにソフトスキルを育てる

セキュリティの専門家が、強いビジネススキル、コミュニケーションスキル、リーダーシップスキルを最初から備えているとは限らない。「この20年ほど、私たちは技術面を非常に得意にしてきました。今こそ、チームのソフトスキルを確実に育て始める必要があります」とWenzlerは言う。

彼は特にコミュニケーションスキルの必要性を強調し、それがセキュリティチームにとって、サイバー脅威に対抗するためにビジネスが従うべきポリシーや手順に関する情報を効果的に伝えるうえで不可欠だと述べる。

「今日最も成果を出しているチームは、他の全員を自分たちの取り組みに賛同させることに成功しているチームです」とWenzlerは言う。「それは、単なるIT部門の一部ではなくビジネスの推進役として見られるときに実現します。そして、ビジネスが理解できる言葉でコミュニケーションしているときに、それができるのです。」

コミュニケーションの改善、ビジネス理解、共感などを通じて、セキュリティの専門家がビジネス側の同僚と効果的に関与できるようになることは、彼ら自身がより良い働き手になることにもつながるとWenzlerは説明する。なぜなら、ビジネスにとって最も重要なリスクについて、より深い洞察と明確さを得られ、その洞察をセキュリティ業務の進め方に適用できるからだ。

また、ビジネス側のカウンターパートと強い信頼関係と協働関係を持つセキュリティチームは、部門横断での影響力が大きく、信頼の水準も高いと指摘する声もある。いずれも、セキュリティのルールや要件について賛同を得る助けになる。

「つまり、セキュリティが実行され、実際の改善が起こるということです」とWenzlerは付け加える。

6. 副官を任命し――権限を与える

高パフォーマンスなチームには、CISOが自分一人ではすべてできないことを理解し、負荷を分担するために副官に頼るという特徴があると、IANS Researchの教員でありArtico Searchのサイバーセキュリティ領域のパートナーでもあるSteve Martanoは言う。

「CISOは自分のトップの副官を見極めるべきです。すでにいるなら、彼らに、担当領域に関連する運用タスクや戦略的ニーズをより多く割り当てるべきです。そうすることでCISOは、よりビジネスリスクのエグゼクティブとして振る舞え、CFOやプロダクト責任者、事業のP&Lリーダーの真の同格として機能できるようになります」とMartanoは言う。

これはチーム全体というよりCISOにとってのメリットに見えるかもしれないが、そうではないとMartanoは言う。むしろ、セキュリティ部門全体に強いリーダーが育ち、チームメンバーのニーズに迅速に対応できるようになる――質問や課題、計画を常にCISOにエスカレーションして返答を待つ必要がなくなるのだ。

「強い副官がいれば、CISOとしてはサイクルを節約できます。彼らが主導している日々の運用業務に、そこまで注意を払わなくて済むからです」とMartanoは言う。

副官に権限を与えることはCISOにとって難しい場合があるとMartanoは言い、「過度に慎重であるがゆえに、チームをマイクロマネジメントするCISOが多い」と指摘する。

より強いリーダーシップチームを作りたいCISOに対し、彼はまず、現状の人材が誰で、どんなスキルを持ち、どんなスキルを育てる必要があるのかを評価するよう助言する。そのうえでCISOは、よりエグゼクティブレベルのタスクや監督を担えるように、それらのリーダーをどう育成するかを計画する必要がある。

「意思決定できる裁量を与え、失敗する余地も与え、あなたを相談相手として使わせてください」とMartanoは言う。「会議ではあなたの代理として出席させ、人々によりビジネス的に、より戦略的に考えさせることで、最大限の力を引き出すのです。」

Martanoによれば、強いリーダーシップチームを作ることの利点は組織全体に波及する。こうした副官は、自分が監督する人々にも同じアプローチを取り、直属の部下に権限を与え、さらにその配下にも同様にすることを期待する傾向がある。その結果、あらゆるレベルの従業員がスキルアップし、より多くの責任を担い、より高い説明責任を受け入れるようになる。

「こうしたCISOは」とMartanoは言う。「組織の下流に向けてリーダーを育む環境を作っているのです。」