組織のデータやシステムを守る仕事はますます複雑になっています。また、ビジネスのデジタル化が進むにつれ、その重要性も高まっています。
セキュリティリーダーたちはこの課題に立ち向かい、防御力を強化し、組織のレジリエンスを高める革新的なプログラムを導入しています。
このような取り組みを称えるため、CSOアワードは毎年、卓越したセキュリティリーダーシップとビジネス価値を示すセキュリティプロジェクトを表彰しています。今年のアワードでは、CSOは46のプロジェクトを選出し、期待を超える成果を挙げた取り組みを称えています。これらのプロジェクトは、アイデンティティ管理やAIのセキュリティまで、今日のセキュリティ業務のあらゆる課題に対応しています。
ここでは、今年受賞したプロジェクトの中から、現在のセキュリティ分野で起きている変革的な取り組みを代表する7つの事例を紹介します。
BMHCC、リスクベースの脆弱性管理アプローチを採用
組織名: Baptist Memorial Health Care Corp.(BMHCC)
プロジェクト: リスク評価・順位付け・修正:戦略的セキュリティ変革
セキュリティリーダー: Seth Fogie, 情報セキュリティディレクター
Seth Fogie氏は、Baptist Memorial Health Care Corp.の情報セキュリティディレクターとして、テネシー州メンフィスに拠点を置く同医療システムの脆弱性管理プログラムを、より戦略的なリスク低減と修正に重点を置いたものにしたいと考えました。
この取り組みは、BMHCCが従来から行っていたネットワークやデバイスの脆弱性スキャンを基盤とし、BMHCC傘下の各組織のITチームが必要に応じてパッチを適用するというものでした。
このプロセスは定期的に見直されていましたが、セキュリティチームが望むほどリスク低減が進んでいないことが判明しました。そこで2024年中頃、Fogie氏とBMHCCのセキュリティチームは、実際のリスク低減を確実にするため、戦略的かつリスクベースの修正モデルを導入しました。
Fogie氏は、BMHCC各組織のITチームに対し、リスクスコアに基づいて脆弱性を順位付けした定期レポートを提供し、各週に上位3つの脆弱性に集中して対応するよう指示しました。
「最大のリスクから順に対応していきます」とFogie氏は説明し、エンタープライズレベルの脆弱性も同様に本社ITが対応していると付け加えます。
成功を確実にするため、Fogie氏は各ITチームと連携し、セキュリティ要件とITワークフローの整合を図りました。「彼らが集中すべき項目をリストに絞り、トップダウンで修正を進めることで合意しました」と述べています。
Fogie氏のリスクベース修正モデルは、パッチ適用が期待通りに機能していない箇所も明らかにし、セキュリティとITチームが課題に対処できるようになりました。このアプローチは、初年度で70%のリスク低減という大きな成果をもたらしました。
現在、セキュリティチームは脆弱性管理のアプローチをさらに成熟させ、自動化やAIの導入を進めています。
FSU、より厳格なベンダー管理プログラムでサードパーティリスクに対応
組織名: フロリダ州立大学(Florida State University)
プロジェクト: サードパーティリスク管理プログラム
セキュリティリーダー: Bill Hunkapiller, CISO
フロリダ州立大学の担当者は、外部組織と共有するデータが十分に保護されていることを確実にしたいと考えていました。そのため、CISOのBill Hunkapiller氏とチームは、サードパーティリスク管理プログラムを刷新し、外部ベンダーやパートナーに関連するリスクをより徹底的に特定・評価・軽減できるようにしました。
このプロジェクトの主な目的は、サードパーティサービスのセキュリティとコンプライアンスの確保、大学の機密データの保護、業務継続性の維持でした。Keith Bennett氏とJeremy Anderson氏(FSUのITセキュリティ・プライバシーリスクマネージャー)は、まずFSUのセキュリティニーズに最も関連するデータ要素を特定し、FSUのサードパーティベンダー管理基準に基づく独自の手法、評価ツール、スコアリングメカニズムを作成して、6か月で新しいサードパーティリスク管理プログラムを構築しました。
このリスク管理プログラムでは、サードパーティに対し、独立したセキュリティ監査、SOC 2監査、またはHigher Education Community Vendor Assessment Toolkit(HECVAT)によるセキュリティレビューの結果提出を求めています。また、サードパーティの攻撃対象領域管理スキャンも必須となり、契約書の文言改善や継続的なモニタリングによるベンダーコンプライアンス強化も含まれています。
Hunkapiller氏は、FSUがこのプログラムと評価プロセスを活用し、サードパーティと交渉して、取引前にセキュリティ上の欠陥を修正させることができると述べています。
「今では、私たちのデータをホスティングしているベンダーのリスクを低減できるようになりました」とHunkapiller氏は語ります。
Anderson氏は、FSUがセキュリティギャップを特定したことで1社のベンダーを断り、Hunkapiller氏も、以前指摘された欠陥に対応していないことが評価で判明した別のベンダーも断ったと述べています。
FSUはこのプログラムの適用範囲を拡大し、機密データを扱う、またはミッションクリティカルなサービスを提供するベンダーだけでなく、より広範なサードパーティを評価する予定です。
Hunkapiller氏とチームは、プログラムをさらに厳格にし、自動化やAIの導入によって効率化も進めています。
Marvell、マルチクラウドセキュリティ体制を変革
組織名: Marvell
プロジェクト: Marvellのクラウド脆弱性管理の変革
セキュリティリーダー: Derek Hardy, CSO
Marvellは、マルチクラウド環境における一般的な課題、すなわちツールの分断化による可視性やポリシー整合性、パッチ管理、プロセス一貫性のギャップに直面していました。
「この複雑さがリソースを圧迫し、対応を遅らせ、効率を制限していました」とMarvellのCSO、Derek Hardy氏は語ります。
この可視性の課題に対処するため、Hardy氏はクラウド脆弱性管理プログラムを「統一プラットフォーム、いわゆる“シングルペイン・オブ・グラス”に集約し、強力な経営陣の支援、明確なプロセス、部門横断的な密接な連携で支えました」と述べています。
この取り組みは数四半期で完了し、一貫性の確保、効率向上、ペネトレーションテストでも見逃されていたギャップの解消を実現しました。また、修正の迅速化、重大リスクのゼロ化、全体的なセキュリティ体制の向上も達成しました。
「この取り組みは、データの保護だけでなく、クラウド全体で拡張性のある安全な運用を保証することで、顧客やパートナーとの信頼も強化しました」とHardy氏は述べ、「クラウドインフラが最高水準のセキュリティ基準を満たしていることを保証しています」と付け加えます。
コアセキュリティチームは、IT、クラウド運用、ビジネス関係者と密接に連携し、組織の優先事項に合致させるとともに、脆弱性対応の責任を明確にしました。
「各部門が役割を担い、露出の特定、修正策の実施、ビジネスプロセスによるセキュリティベストプラクティスの強化などに取り組みました」とHardy氏は説明します。
統合された脆弱性管理システムは、Marvellのマルチクラウド環境全体に完全展開されており、セキュリティチームはプロセスの洗練、自動レポート化、統合拡大を続け、今後もその効果を高めていきます。
「私たちは継続的な改善に注力しており、自動化の拡大、ビジネス部門との連携深化、Marvellのクラウド拡大に合わせたフレームワークのスケールアップを進めています」とHardy氏。「これにより、セキュリティがデジタルトランスフォーメーションの旅に組み込まれ続けます。」
組織名: Mastercard
プロジェクト: セキュリティカンファレンスイニシアティブ
セキュリティリーダー: Michael Lashlee, CSO
2022年、Mastercardはセキュアコーディングの重要性を強調するため、セキュリティカンファレンスイニシアティブを開始しました。目的は、ソフトウェア開発者がセキュリティをソフトウェア開発ライフサイクルに組み込むことで、より安全でレジリエントなソフトウェアを作成できるようにすることでした。
このイニシアティブは、同社のセキュリティチャンピオン、セキュアソフトウェア開発ライフサイクルチーム、ビジネスセキュリティイネーブルメントギルドのメンバーによって設立され、定期的なイベントとして、インタラクティブなコーディングチャレンジやライブ攻撃シミュレーションなどの実践的な体験を通じて、開発者のセキュアコーディングスキルとセキュアSDLC原則への意識を高めています。
さらに、ソフトウェア開発コミュニティとセキュリティチーム間の協力を促進し、セキュリティの共同責任を推進し、技術的専門性を構築し、文化的変革を促します。
「最大のメリットは、全員参加型のセキュアコーディング学習体験を提供することで、セキュリティ文化を拡大できることです」と、MastercardのリードプロダクトオーナーSwarali Kulkarni氏は述べています。
Kulkarni氏は、カンファレンスでは経営層向けブリーフィングや業界インサイトからワークショップ、競技型トーナメントまで幅広いトピックを扱い、「関係者全員にとってバランスが取れ、インパクトのある体験を創出しています」と述べています。
このイニシアティブは、Secure Code WarriorやCyberangeなどのトレーニングプラットフォームを活用し、ゲーミフィケーションによる体験を提供しています。これは測定可能で、かつ必要な時間も最小限(2日間、各日3〜4時間)です。プラットフォームは50以上のプログラミング言語に対応し、セキュアコーディングの精度、学習時間、修正されたコードの数など、さまざまな指標で評価できます。
これまでに5回のカンファレンスが開催され、各回400人以上のMastercardソフトウェア開発コミュニティの参加者が集まりました。各カンファレンスは、参加希望を表明したMastercard内のプログラムごとに個別に設計されているとKulkarni氏は述べています。
Penn Medicine、IT脅威検知プログラムを近代化
組織名: Penn Medicine
プロジェクト: サイバー脅威検知の刷新
セキュリティリーダー: Julian Mihai, CTO
Penn Medicineは約10年前に最先端のセキュリティ情報・イベント管理(SIEM)ソリューションを導入していましたが、数年前、オンプレミスシステムでは現在の攻撃の進化スピードに追いつけなくなったとセキュリティチームは認識しました。
「今や脅威は1時間ごとに変化するため、迅速な検知が非常に重要です。それが、検知技術の再考・再構築の原動力でした」とCTOのJulian Mihai氏は語ります。
Mihai氏とチームは2024年に新しいクラウドベースのSIEMソリューションを導入し、MITRE ATT&CKモデルの革新的な組み合わせを活用して、脅威検知プログラムの戦略的・戦術的方向性を導きました。
「完全な再設計であり、従来のものはすべて廃止されました」とMihai氏は述べています。
Jesse Whyte氏(サイバーセキュリティ防御ディレクター)は、この取り組みには技術だけでなく人やプロセスの変革も必要だったと語ります。セキュリティスタッフは「脅威インテリジェンス優先」のアプローチを採用し、進化する脅威や新たな脅威インテリジェンスを検知に活用する方法を学ぶ必要がありました。
また、重要システムを不必要に隔離しないよう適切なガバナンスも導入し、クラウドSIEMに送信するデータ量を支える出口パイプラインも確保しなければなりませんでした。
「最大の課題はコスト管理でした。現代のSIEMライセンスは取り込むデータ量に基づくため、データレイクに入る時点でデータを間引く仕組みを作りつつ、全体の消費量を増やし、プロジェクトのランレートも管理する必要がありました」とWhyte氏は説明します。
クラウドネイティブSIEMソリューションとPenn Medicineの近代化されたセキュリティ運用は、目覚ましい成果を上げています。チームはマネージドセキュリティサービスプロバイダーとシームレスに連携し、24時間365日の対応を実現。AIと自動化が日常的なインシデントやタスクを処理することで、「より上位のスタックでの作業」に専念できるようになりました。
特に、検知までの時間と封じ込めまでの時間が劇的に短縮され、PennMedではそれぞれ550%以上の改善が報告されています。
組織名: TIAA
プロジェクト: HUNT(ハイパー自動化統合ネットワーク脅威ハンティング)
セキュリティリーダー: Sastry Durvasula, 最高執行・情報・デジタル責任者
TIAAのセキュリティリーダーは、同社の3年前からのCyber 2.0イニシアティブの一環として、毎年優先事項を正式に見直し・刷新しています。2024年には、AIによるサイバー脅威が増加する中、AI活用による防御強化に重点を置くことを決定しました。
その結果が、「ハイパー自動化統合ネットワーク脅威ハンティング(HUNT)」という新機能です。
HUNTは、革新的なAI・機械学習モデルを用いて、最大60分以内の検知時間で見逃されがちな脅威リスクを低減します。既存の商用ツールをベースに、TIAAのクラウドインフラ全体で不審な活動を統合する独自のテレメトリ収集を行っています。
HUNTは、TIAAの最高執行・情報・デジタル責任者であるSastry Durvasula氏が「スリーパーセル」と呼ぶ、環境内に潜み、攻撃者に信号を送りつつ攻撃のタイミングを待つ脅威を追跡します。
セキュリティを統括するDurvasula氏は、こうした脅威の検知がいかに困難で、従来は多くの手作業が必要だったかを指摘します。Durvasula氏とチームは、AIが手作業を減らし、効果と効率を高める鍵だと考えました。
TIAAのニーズを満たす商用ソリューションがなかったため、TIAAは独自に開発しました。
TIAAのチームは2024年にツールを設計し、脅威を示すパターンを検出するAI/MLモデルを構築・訓練しました。HUNTは既存ツールの上に構築され、MITRE ATT&CKフレームワークなど業界標準ツールも活用し、脅威を検知するとアナリストに通知して対応を促します。
2025年初頭に導入されたHUNTは、検知・修正に必要な時間とリソースを削減しています。「サイバー体制を大幅に強化しました」とDurvasula氏は述べ、今後はさらなる自動化や生成AIを含むインテリジェンス強化、最終的にはエージェンティックAIによる完全自動化を目指すとしています。
Walmart、AIでブランドフィッシングサイトを大規模にプロアクティブ検知
組織名: Walmart
プロジェクト: Phishface
セキュリティリーダー: Jerry Geisler, EVP兼CISO
大量のシグナルから本当の脅威を見極めることは、多くのセキュリティ部門にとって共通の課題です。これに対応するため、Walmartのサイバーインテリジェンス(CI)チームは、Walmartブランドのログインページに視覚的に類似したウェブページを識別するために訓練された独自のフィッシング検知機械学習モデル「Phishface」を開発しました。
「CIチームが手作業で処理していたブランド悪用サイトの膨大な量と流入が、このプロジェクトのきっかけでした」と、セキュリティオペレーション担当副社長のJason O’Dell氏は語ります。
CIチームは、ドメインやウェブサイトのフィードを取り込み、ビジネスブランドのウェブサイトを特定し、それをさらに検知コントロールに渡すモデルを構築しました。POCが完了すると、CIチームはPhishfaceをSecOps Devチームに引き継ぎました。
「このプロジェクトの主な目的は、脅威の可能性が高いシグナルの量を減らし、アナリストが有害かつブランド悪用のウェブサイトを特定しやすくすることでした」とO’Dell氏は説明し、「アナリストの効率と効果が大幅に向上しました」と付け加えます。
「以前は、アナリストがタイムリーに確認するにはほぼ不可能なほど膨大な情報量に直面していました。このプロジェクトによって、そのデータフローが管理可能な量になり、少人数のアナリストでも効率的かつ迅速にレビューできるようになりました」とも述べています。
このプロジェクトにより、項目数は平均で約98.5%削減され、アナリストはより優先度の高い戦略的活動に注力できるようになりました。また、98%の精度を達成し、アナリストの生産性とリソース配分を直接向上させたと、セキュリティオペレーション・脅威検知グループディレクターのGavin Clark氏は述べています。
Phishfaceは大きなインパクトをもたらしており、「組織が悪意あるサイトを迅速かつ大規模に特定し、そのデータを他の検知コントロールに提供してほぼリアルタイムで対応できるようになりました。このようなモデルはウェブページを高速で分析し、数千ページを継続的にスクリーニングし、手動更新なしで新たなフィッシングページにも適応できます。つまり、検知体制をリアクティブな後処理からプロアクティブな予防へとシフトさせています」とO’Dell氏は語ります。