CISOがベンダーに尋ねるべき5つの質問

電話、メール、LinkedInメッセージ—CISOはセキュリティ製品を売り込むベンダーからの連絡であふれています。アプローチは週に最大30件にもなることがあります。ビデオ通話やオフィスでのプレゼンテーションなど、CISOが新しいベンダーと実際にやり取りする際には、重要な質問のリストが新しい製品の適合性を評価する助けになります。

複数のCISOが、長年の経験と数多くの売り込みセッションから導き出した最重要質問を共有してくれました。

1. 私のビジネスを理解していますか？

CISOが見込みベンダーに自社特有の課題を理解しているかどうかを尋ねるとき、実際に求めているのは、ベンダーが事前に調査をしているという証拠です。「私は、私の組織のビジネス課題に対する解決策から話を始めてほしい。機能一覧や他社でよくある一般的な課題ではなく」と、International SeawaysのCISO兼CIOであるAmit Basu氏は語ります。

ソリューションのポートフォリオが増え続ける中で、Basu氏は新しいツールが自分のニーズにどのように合致し、技術的な肥大化を招かないかをすぐに知りたいと考えています。「新しい製品が有効なのは、明確にセキュリティを向上させ、できれば既存のツールを一つ以上置き換え、実際の運用上のニーズに対応している場合だけです」と彼は説明します。

しかし、彼は多くのベンダーの売り込みが「魔法のような」機能を強調しすぎており、実際にどのようにセキュリティ課題を解決するかが示されていないと感じています。「私は明確さと誠実さを重視します。ツールが2つのユースケースをしっかり解決できるほうが、20個を曖昧に解決できると主張するよりも強いです」と彼は言います。

CISOとCIOの両方の役割を持つBasu氏は、新しい技術導入時にセキュリティが常に組み込まれていること、決して後回しにならないことを重視しています。

「私のテクノロジースタックでサポートできないレガシー技術で動作するセキュリティ製品を売り込むことはできません。シームレスな統合が必要です」と彼は言います。

2. 業務負荷を軽減し、価値を付加し、運用を改善できますか？

新しいツールが業務負荷を軽減し、リスクを最小化し、レジリエンスを高め、運用を簡素化できるかどうかを尋ねることが、よくある出発点です。

Basu氏は、製品が機能を統合できるかどうか、単なるポイントソリューションを追加するだけにならないかを知りたいと考えています。「それがなければ、各ツールは狭い範囲しか守れず、コスト増やメンテナンス負担の増加を招くだけです」と彼はCSOに語ります。

しかし、HydrolixのCISOであるJoshua Scott氏は、アラートを増やして業務負荷を増やす新しいツールの過剰な売り込みには警戒しています。「価値を提供するように見えて、結局はノイズ発生装置になってしまう製品をよく見かけます。脆弱性発見ツールやスキャンツールなど、チームの仕事を増やすだけです」と彼は言います。

場合によっては、技術的な詳細が多すぎて、問題解決が足りないこともあります。CISOには、画一的な売り込みよりも、カスタマイズされた提案の方が有益でしょう。

「最良の売り込みは、組織が解決しようとしている課題に超フォーカスしており、一般的だったり不要な詳細で埋め尽くされていません」とScott氏は言います。「スライドは少ないほど良い。どのように価値を示し、どのように私の業務を減らすのか、要点を直球で伝えてください。」

Scott氏の質問は、リスクの低減、レジリエンスの向上、ビジネスへの影響評価、セキュリティとビジネスのバランスに集中しています。これは以前はそうではありませんでしたが、彼のアプローチはよりビジネス重視に成熟しました。「初めの頃はそういう質問をしていませんでしたが、非常に技術的でキラキラした新しいものを手に入れても、問題を解決しないこともある—そこにこそ注力しなければならないのです」とScott氏は語ります。

3. 統合や継続的なメンテナンスの負担はどれくらいですか？

CouchbaseのCISOであるVasanth Madhure氏は、新しいツールを評価する際、ライセンスコストだけでなく、導入やトレーニングの要件、インフォセックチームの習熟曲線についても尋ねます。

導入を検討する前に、Madhure氏は製品の設定や運用に必要な時間と労力を理解したいと考えています。「製品によっては非常にシンプルなものもありますが、他のものは多くの設定が必要です」と彼はCSOに語ります。

アップデートが自動か手動かを知ることは非常に重要です。なぜなら、継続的なメンテナンスは直接的に業務負荷に影響するからです。Madhure氏は、セキュリティプログラムの成熟度や進捗を追跡するのに役立つ、明確で実用的なレポートやダッシュボードを提供するツールを高く評価しています。

また、特定の機能に追加費用がかかるかどうかも知りたいと考えています。なぜなら、それによって製品の価値やROIが変わるからです。「製品を導入した後で、ある機能を使うには追加のエンタープライズバージョンや別製品の購入が必要だと言われたくありません。」

新しいベンダーを選ぶ際、Madhure氏とそのチームは質問リストをできるだけ網羅的に作成し、各ベンダーの対応を比較します。しかし、それでもこのプロセスで拾いきれないことがあります。「ほとんどの質問は事前に想定しますが、どうしてもいくつかは最初に特定できないものがあります。」

4. アップデートサイクルはどうなっていますか？製品設計に関与できますか？

Scott氏はベンダーに、アップデートサイクルについて、どのくらいの頻度で更新し、新たな脅威や業界の変化に対応しているかを尋ねます。「特に脆弱性スキャンやGRCのような変化の早い分野で、ベンダーが新しいフレームワークや規制、セキュリティ課題にどう対応しているのかを知りたいです。」

Scott氏はまた、統合についてや、ツールが完全なクラウド型か、オンプレミスやハイブリッドの要素があるかも知りたいと考えています。これはクラウドネイティブ企業であるため特に重要です。さらに、ベンダーがAIをどのように活用し、データをどのように扱っているかについても質問を追加しています。

「私たちの知的財産や投入したデータが、第三者や四次ベンダーのAI学習に使われていないことを確認したいのです」と彼は言います。

5. 実際のユースケースや主張の裏付けを示せますか？

経験豊富なCISOは、ベンダーに対し、自分たちが直面している課題と類似した問題をそのツールがどのように解決したか、具体的な事例を求めます。

「NIST CSFやMITRE ATT&CKなどの確立されたフレームワークへのマッピングは有用ですが、それ以上に重要なのは成果の証拠—保護強化、検知時間の短縮、対応の迅速化、コスト削減などです」とBasu氏は語ります。

印象的だった売り込みの一つでは、ベンダーがMadhure氏の求めるすべての機能を実演し、質問にも非常に詳しく答えてくれました。「彼は私たちの課題にどう対応するかを答えたり、方向性を示したりできました。市場調査をしっかり行い、私たちが直面する課題の種類を理解していました。」

Scott氏は、ツールが実体のないもの（バポアウェア）でないことや、使い勝手の悪いインターフェースや不格好な機能にがっかりしないためにも、ライブデモを好みます。また、他の組織がそのツールをどう使っているかをベンダーに尋ね、自分のチームからの質問も共有します。

「CISOは、そのツールがなぜ価値をもたらすのか大まかには理解できますが、見落としている技術的な詳細や、現場の担当者の方がよく分かることもあるかもしれません」と彼は言います。

こんな「レッドフラッグ」に注意

CISOたちは皆、売り込みセッションで即座に警戒する「レッドフラッグ」があると認めています。中でも大きいのは、曖昧だったり突飛な主張です。「混乱を招く専門用語を乱用したり、『このソリューションであなたのすべての問題が解決し、安心して眠れます』などと誇大に主張しないでください」とBasu氏は言います。

恐怖を煽るやり方は、Madhure氏にとって大きなマイナスポイントです。「FUD（恐怖・不確実性・疑念）を使ったアプローチはレッドフラッグです」と彼は言います。

会社のインシデントをセールストークに利用するのは「救急車を追いかける」ようなもので、歓迎されません。「そうしたやり方は的外れであり、セキュリティコミュニティは困難な状況を利用するよりも、互いに支援し合うことを重視しています」とScott氏は語ります。

バズワードの多用も大きなNGです。「ベンダーが売り込みやデモでバズワードを使うのに、実際にはその機能をサポートしていない場合、誤解を招きます。私たちは技術的なバックグラウンドがあるので、見抜くことができます」とMadhure氏は言います。

売り込みに対するフィードバックを受け入れないベンダーは、パートナーシップでの課題を示唆する場合があります。

「売り込みをもっと引き締めて、実際の課題にフォーカスするようにアドバイスしたことがあります。素直に受け止めるベンダーもいれば、そうでない人もいます」とScott氏は言います。