20年以上にわたり国に軍務で奉仕してきたブラウン&ブラウンのCSOは、サイバーリスクと戦略的防御に分析的アプローチをもたらしている。
退役した米陸軍大佐バリー・ヘンズリーの24年に及ぶ陸軍通信将校としての軍歴において、ITセキュリティは重要な要素だった。彼はしばしば「駐屯地であれ、展開した戦闘部隊の支援であれ、軍のネットワーク」の設計と構築・設置を担当していたからだ。
「私の軍歴の頂点は、軍のグローバル通信ネットワークを運用・防衛するという究極の任務を担う、精鋭のサイバー部隊と共に働いたことです」とヘンズリーはCSOに語る。「この期間に、私はこの(米)国が直面するサイバーセキュリティ問題の深刻さを実感し、正しい戦いを続けながら解決の一端を担うべく、プロとしてのキャリアを捧げたいと思いました。」
現在ヘンズリーは、グローバルな保険ブローカーであるブラウン&ブラウンのCSOとして、顧客が最も大切にするものを守れるよう支援することを目標としている。
CSOは、保険業界におけるサイバーセキュリティ、サイバー専門職のモチベーションを保つ方法などについて、バリー・ヘンズリーに話を聞いた。
現在、組織はサイバーセキュリティをどのように捉えていますか?
ヘンズリー:サイバーセキュリティリスクに対する認識は、今日では業界全体でより一貫してきています。しかし、求められる行動喚起の度合いは大きく異なることが多い。サイバーセキュリティはあらゆる組織の基盤であり、特に顧客の信頼と信用が不可欠な場合はなおさらです。そして、その信頼の一部には、ネットワーク、データ、そして私たちが提供するサービスの安全性が含まれます。
それほど昔のことではありませんが、組織はリスクが現実のものでも自分たちに関係するものでもないと考えていました。大きなインシデントを自ら経験した組織や、第三者・第四者からの侵害通知を十分に目にして対策に乗り出した組織が増え、時代は変わりました。こうした出来事はすべて認知を高め、脅威とそれに伴うリスクに信憑性を与えます。しかし、適切なリスク許容度を設定し、それが有効なセキュリティ統制への適切な投資につながるようにすることは、依然として課題です。特に予算に制約のある組織ではなおさらです。
また、サイバーセキュリティ事案に関連する政府介入の増加、罰金、その他の規制措置の台頭が、そうした認識に影響を与えることも忘れてはなりません。
現在、保険業界ではどのような具体的なセキュリティリスクに直面していますか?
今日の脅威アクターには共通のテーマがあります。それは、得たアクセス権をどう収益化するかです。ですから個人的には、業界固有の脅威に過度に重きを置いていません。本質は、その組織が保有するデータやアクセス権、そしてそれがどれほど価値があると見なされるかです。保険業界に特有の点としては、請求や保険契約の判断のために収集される情報があり、たとえそれが他者への標的化を精緻化する程度にしか役立たないとしても、脅威アクターが価値があると判断する可能性があります。
しかし、歴史的な誤解や業界への反感から保険業界を狙う「理想主義者」や「思想的動機を持つ」脅威アクターの存在も、無視して消し去ることはできません。
ランサムウェアに関して言えば、脅威アクターは支払う可能性が高い、あるいは搾取しやすい組織を狙う傾向があります。したがって重要なのは、業界そのものというより、その組織が保有するデータと、セキュリティプログラムの成熟度です。脅威アクターは最小のリソースで最大の投資対効果を得たいので、しばしば手の届きやすい標的、つまり多くの場合で最も成熟度の低いセキュリティプログラムを狙います。
今後数年で、サイバーセキュリティ戦略が変わると見ていますか?
私たちの戦略は変わりません。リスク許容度に沿ったセキュリティ投資に集中し、ますます活発化する脅威環境に対して一歩先を行くことです。例として、人工知能を用いたハッキングツールの採用が挙げられます。これは適応の必要性を明確に示しています。問題は、セキュリティチームが自分たちのAI戦略でこの進歩にどう対抗するかです。AIを活用してコモディティ化した作業を担わせる一方で、人間のチームメイトを解放し、全体的なリスク低減に関わるビジネス文脈に集中させ、AIモデルの学習の優先順位付けに注力させるにはどうすればよいのでしょうか。
つまり、人間のセキュリティ分野の専門家が主導するAIセキュリティ労働力を想像してください。適切な防御を、適切なタイミングで、適切な場所に配置できるようにするのです。例としては、継続的なペネトレーションテストを実施し、見過ごされかねない防御の隙間を見つけることが挙げられます。
また、第三者・第四者リスク管理の進化も見ています。特に、セキュリティパートナーの成熟度とレジリエンスをどのように検証するかという点です。リスクの進化の一因は、第三者・第四者がコスト削減や効率向上のために基盤技術を入れ替えることにありますが、顧客側は露出し得るリスクをほとんど理解できません。したがって、社内で提供するセキュリティ機能については基本に注力し、それを確実に実行します。アウトソースする統制/機能については、パートナー環境を検証する方法だけでなく、彼らのセキュリティプログラム、そして私たち自身のプログラムを改善するために、どのように能動的に関与するかも再構想しなければなりません。
サイバーセキュリティの多くは、基本を卓越して実行することだという点も忘れてはなりません。そしてこの場合の基本とは、今後何年にもわたって活用され続けるインフラを構築し、保護することです。
サイバーセキュリティ人材を定着させるために、何をしていますか?
リーダーシップとは、人々が共有するビジョンを達成・実現するために、本人が想像していた以上の力を発揮できるよう鼓舞することです。リーダーはまず、チームメイトの情熱と関連スキルを理解し、ビジネス目標の達成に向けて整合させる必要があります。全体のビジョンの中で彼らがどこに位置づくのかを明確に伝え、納得感を得ることが鍵です。
ブラウン&ブラウンでは、他者が自分にとって最も価値あるものを守れるよう支援しています。優秀な人材を定着させるために、私たちはチームメイトがその使命の中で自分がどこに位置づくのかを理解できるようにしています。私たちの成功は、日々お客様に選ばれ続けることに基づいており、環境、ネットワーク、データの安全を確保することは、その信頼を築き維持するうえで不可欠です。顧客との関係における信頼を維持するために、彼らがどれほど不可欠な存在であるかを、チームメイトに示す必要があります。私たちは、彼らが毎朝目覚めたとき、自分がセキュリティプログラムだけでなく、より広いブラウン&ブラウンのエコシステムにおいても重要な役割を担っていると感じられるようにしたいのです。
ブラウン&ブラウンでは、チームメイトを第一に考えます。彼らの専門性は常に重要な差別化要因だからです。
最も誇りに思うことは何ですか?
私が最も誇りに思うのは、日々一緒に働いている、鼓舞されるようなセキュリティ専門家チームです。彼らは常に自分よりチームを優先し、自分の仕事で最高を目指し、チームメイトと組織の安全と保護を確実にするために常に期待以上の努力をします。私の経験の中でも比類のない勤勉さと卓越性へのコミットメントを持つ素晴らしいチームの一員でいられることを、心から幸運に思います。
CISOが自問すべき質問はありますか?
私たちは昨日のリスクではなく、最も関連性の高いリスクを評価しているでしょうか。そして、前職で使っていたプレイブックに囚われがちだからこそ、現在のプレイブックが目の前の組織にとって適切であることをどう担保するのでしょうか。例として、フィッシング訓練にどれだけ時間を割くかがあります。これはチームメイトに第一防衛線であることを負担させますが、代わりに異常検知ベースの検出を活用して、検知と対応を自動化することもできます。
現在、サイバーセキュリティリーダーが直面している最大のセキュリティ課題は何ですか?
ヘンズリー: このビジネスに、単一の最大課題はありません。注意を奪い合う、複数の絶えず進化する課題があるのです。
サイバーセキュリティコミュニティ全体に共通する課題は、脅威アクターが機敏で革新的で、潤沢なリソースを持ち、不意打ちという優位性もある世界で、私たちは常に100%正しくなければならないという点です。サイバーセキュリティ専門家は、企業に革新的なソリューションを提供しながら、取り組みの優先順位付けにも苦労しています。あらゆるサイバーセキュリティリーダーは、新技術がもたらすリスクと向き合わなければなりません。AIはその一つにすぎません。
リスクの問いに絶対的な「正解」はありませんが、最も重要な資産に対する脅威を軽減するという古くからの公式は揺るぎません。セキュリティチームには、弱点を特定し、悪用される可能性を評価し、ビジネスへの影響を判断するという継続的な使命があります。これは難しいものの、リスクとリターンのトレードオフにおいて必要なステップです。
夜も眠れないことは何ですか?
ヘンズリー:未知です。先ほど述べたように、サイバーセキュリティ専門家は常に100%正しくなければならない一方で、脅威アクターは未知または未対処の脆弱性を一つ突くだけ、あるいは特権アクセスを持つ単一のユーザーを利用するだけでよいのです。リスクモデリングでは、最も重要な資産に対して未知の脅威を可能な限り最小化するために、有効なセキュリティ統制へ投資すべきです。
