セキュリティプログラムは時折刷新が必要です。成功の鍵は、明確な優先順位を設定し、よくある失敗を避け、個人への負担を抑えることにあります。
2024年、マリオットは厳しい警告を受けました。セキュリティプログラムの再構築を命じる連邦命令です。米国連邦取引委員会(FTC)によるこの命令は、2014年までさかのぼる一連の情報漏えい事件を調査した結果、3億4,400万人の顧客の個人情報が流出していたことが明らかになったことを受けて出されました。
FTCの決定により、マリオットは防御体制の抜本的な見直しを迫られ、アクセス制御の強化、ベンダー管理の改善、継続的なテストの実施など、長らく必要とされていた対策を講じることとなりました。
連邦命令や情報漏えいが起きてから、情報・資産・人員を守るための方針や手順、管理策の見直しを始めるのは、多くの組織にとって大きなリスクです。より賢明なのは、早めに警告サインを察知し、問題が表面化する前に行動することです。
「セキュリティプログラムの再構築が必要な赤信号は、たった一つの質問で表現できます。『自分のセキュリティプログラムは効果的か?』です」とSingulr AIのCSO、リチャード・バード氏は言います。「よくある答えは『侵害されていないから大丈夫』ですが、これは効果の指標にはなりません」とバード氏は付け加えます。
初期の警告サインとしては、「攻撃の成功や未遂が急増している、セキュリティオペレーションセンター(SOC)でツール疲れやアラート過多が起きている、規制違反が発生している、そして何よりもビジネス側からセキュリティがパートナーではなく障害物と見なされている」といった点が挙げられます」とDarktraceのVP兼フィールドCISO、カリム・ベンスリマン氏は述べています。
セキュリティプログラムの再構築方法に厳密なルールはありませんが、専門家によればCSOが念頭に置くべき優先事項と、避けるべきいくつかの失敗があります。
悪化した状況を立て直す
大規模な情報漏えい、あるいはマリオットのように複数回の漏えいが発生した後、組織がセキュリティプログラムの再構築を望むのは珍しくありません。CISOが交代した場合、新しいセキュリティリーダーは、信頼が損なわれ、チームが燃え尽き、取締役会との関係も緊張している環境に直面することがあります。
このような時期、新しいCISOの最初の判断が今後のすべての流れを決めることになります。「新任CISOは、理想的には第三者を活用して、上から下まで徹底的な見直しを行うべきです。これにより、他にも潜在的な侵害がないか確認し、管理策が十分かつ有効かどうかを判断できます」とGoogleの戦略的セキュリティアドバイザーで元Google Cloud CISOのフィル・ヴェナブルズ氏は述べています。
そしてCISOが最初に行うべきもう一つの評価があります。それは、CIOやCTOを含む経営陣が前任者を本当に支援していたかどうかを確認することです。この答えは、漏えいが前任CISOの責任なのか、それとも組織が十分なセキュリティ投資をしてこなかった深刻な兆候なのかを理解する助けになります。
ExtraHopのCISOであり、元米空軍CSOのチャド・ルメール氏も、災害の根本原因を理解することが必須であり、それが次のステップを導くと同意します。ただし、その深い背景を把握せずに行う修正は表面的なものに終わるリスクがあります。「CISOがビジネス、文化、セキュリティプログラム、セキュリティ能力や投資、根本原因、チームスキルを明確に理解していれば、セキュリティプログラムを再構築するための必要な知識と理解を得ることができます」と彼は述べます。
その知識の一部は、人々の話を真摯に聞くことで得られます。F5のフィールドCISO、チャック・ヘリン氏は、新任CISOは大きな変更を加える前に、最初の数週間は「傾聴モード」で過ごすことを勧めています。
「私は、セキュリティチーム、IT、開発者、経営陣など、ビジネス全体で短く焦点を絞ったヒアリングセッションから始めます」とヘリン氏は言います。「何がうまくいったか?どこで私たちが邪魔になっているか?私たちがパートナーであり障害物ではないとどう示せるか?私たちがあなたやビジネス、チームに提供している価値をどう測っていますか?」といった質問を投げかけます。
こうしたヒアリングツアーは、信頼の早期回復やシステム的な課題の顕在化に役立ちます。また、時間をかけて「セキュリティチームの声が本当に重要だ」という強いメッセージを送ることにもなります。「彼らは今回起きたことについて多くの意見を持っており、新しい上司が来ることに不安を感じているでしょう。『この人は私たちを支えてくれるのか?全員解雇して自分の人を連れてくるのか?経営陣に気に入られるために私たちを犠牲にするのか?』と」とヘリン氏は言います。「今は何も決めつけず、多くの質問をし、聞く姿勢を示す時です。」
その後、F5のCISOは、ビジネスにとって意味があり、すぐに実現できる小さな成果を探すことを提案しています。例えば、レポートの改善、壊れた承認プロセスの簡素化、明らかな盲点の解消などです。「迅速で意味のある改善は、このリーダーシップチームが本気で変革に取り組んでいることを皆に示し、今後の文化的・技術的な深い取り組みの土台となります」と彼は述べます。
もしチームが過労状態なら、自動化への投資やプロセスの効率化、全員を巻き込んだ効率化の推進が必要です。
技術やスキルが変化したときのセキュリティプログラム再構築
セキュリティプログラムを刷新する際、CISOはヴェナブルズ氏の4段階フレームワークを参考にできます。これはほぼすべての組織に柔軟に適用できるものです。企業は現状から始め、望む変更を加え、残りのタスクを後から完了することができます。
セキュリティプログラムの再構築は定期的に行うべきです。なぜなら技術は進化し続けるからです。ヴェナブルズ氏は、CISOが「戦略的な脅威インテリジェンスを活用」して最新情報を把握することを推奨しています。また、インシデントが起きるのを待つのではなく、リスクや脅威、脆弱性のクラス全体に積極的に対処することも勧めています。
また、CISOやセキュリティチームが既存の計画やプロセス、手順を見直し、防御力強化に必要な改善やイノベーションがないか検討する時間を取ることも重要だとルメール氏は付け加えます。
時には追加すべきツールや、逆に削減できるツールもあります。「スタックを簡素化し、90個のツールから10%の効果を得るより、10個のツールで90%の効果を得られれば、次の課題に向けて予算や注意を割くことができます」とルメール氏は言います。一方で、専門家はAI駆動のツールを活用することで、チームの生産性や能力を「10倍」にできるとヴェナブルズ氏は述べています。
トレーニングも真剣に取り組むべきです。セキュリティチームの成長を支援することは、多くの専門家が強調するテーマです。「迷ったら人材に投資しましょう」とルメール氏は言います。「セキュリティを完全に将来対応型にすることはできませんが、適応できるチームを作ることはできます。」
しかし、適切な人材の採用や十分なトレーニングだけでなく、必要に応じて厳しい人事判断を下す覚悟もCISOには求められます。
「時には人を変え、時には人そのものを変える必要があります」とヘリン氏は言います。「重要な役割に不適切な人材がいる場合は、迅速に変更を行う必要があります。最も重要なのは人とリーダーシップであり、技術ではありません。」
よくある失敗
セキュリティプログラムのような複雑なものを再構築する際、失敗は避けられません。多くは十分な支援が得られなかったり、誤った思い込みに固執したり、変革を持続させるために必要な文化的変化の大きさを過小評価したりすることから生じます。
こうした大きなプロジェクトは、トップの全面的な支援なしにはほとんど成功しません。CISOが犯しがちなミスの一つは、CEO、CFO、COOからの明確な信頼と支援の約束を確認しないことです。「組織のビジョン、予算、運営を握る人々こそが、再構築によって全社的にプロセスや行動が変わる際、CISOが必要とする支援者です」とバード氏は述べています。
また、彼は「再構築を自分の意志だけで実現できると信じてしまう」こともよくある誤りだと付け加えます。実際には、リーダーシップと交渉し、従業員を巻き込む強いソフトスキルがなければ、どんなに綿密な計画も失敗に終わるリスクがあります。
ソフトスキルは、CISOが一緒に働くべき適切な人材を見極めるのにも役立ちます。また、求める知識や姿勢、適応力についてオープンにするべきです。ただし、大企業経験者ばかりを採用するのは誤りで、新たな視点や機動力を制限してしまいます。スタートアップや公共部門、異色のキャリアパスなど多様なバックグラウンドは、ベテランが見落としがちな新しい問題解決アプローチをもたらします。こうした従業員は公平に扱うべきです。
「何年も昇給がないベテランチームは、会社が本気でセキュリティに投資していないサインです」とScrut AutomationのCISO、ニック・ムイ氏は言います。投資不足は、チームへの非現実的な期待や、リソース配分の疑問につながりがちです。「すべてを内製化しようとする姿勢は、多くの中規模企業には現実的ではありません」とムイ氏は付け加えます。「内製リソースは最も必要な部分に集中し、それ以外はアウトソーシングやツールを活用しましょう。」
再構築における他のよくある失敗は、ツールやテクノロジーに関するものです。「CISOは3つの重要な落とし穴を避けるべきです」とベンスリマン氏は言います。「AIによる脅威の影響を過小評価すること、静的で旧式のツールに頼ること、AIなど新技術に関する期待値の管理を誤ることです。」彼の提案は、クラウドネイティブなインフラを受け入れ、AIを活用できるスキルを持つ人材を採用することです。
また、CISOがビジネス推進に偏りすぎると、セキュリティが犠牲になることもあります。「これは、堅牢なセキュリティ要件の実装と、会社がより多くのリスクを取ることとの間で妥協が生じることにつながります」とYubicoのCISO、チャド・サンバーグ氏は言います。「時には立ち止まって状況や判断を再評価し、適切なタイミングで適切な領域に焦点を当てているか確認することが重要です。」
多くの場合、セキュリティプログラムの再構築は、ゼロから作るよりも困難です。そのため、CISOは限られたリソースの中で結果を出すよう強いプレッシャーにさらされ、しばしば眠れぬ夜を過ごすことになります。
「CISOがこの種の改革に乗り出すとき、家族や友人、コミュニティとの関係にどれほど負担がかかるかを見落としがちです」とバード氏は言います。「感情的・身体的・対人関係のバランスを取ることを忘れると、再構築は失敗し、そうした個人的な要素も巻き込んでしまうことが多いのです。」
翻訳元: https://www.csoonline.com/article/4063708/how-to-restructure-a-security-program.html
