CISOに「自分だって人間だ」と思い出させる必要性--ウィズセキュアCISOに聞く心の問題
1つ目の図で取り上げているのは個人の目的ですが、2つ目の図では組織の目的も取り上げています。組織の目的は、CISOが自分の役割を定義するのに役立ちます。「組織の目的が自分の人生でやりたいことと一致しているか」「自分にとって意味のあるものか」。もしかしたら、やる気をあまり起こさせないものかもしれません。 セキュリティアウトカムも取り上げています。セキュリティアウトカムの実現は、CISOにとって目標なので重要です。セキュリティアウトカムとともにリソースにも焦点を当てていますが、この2つが重なる部分は、伸ばしていく必要があるとCISOが感じる領域だからです。 しかし、実際にできることには限界があります。現在の世界ではさまざまなことが厳しく求められますが、私たちが自分に求めるものも厳しくなっています。他人よりも自分からのプレッシャーを強く感じることがあります。自分で問題を大きくしているようなものです。 個人の目的、組織の目的、セキュリティアウトカム、リソースといった項目は、CISOとしての責任や職務を思い出すとともに、できることには限界があると考える助けとなります。 --CISOの仕事はそれまでの職務とどう違いますか。 サイバーセキュリティ業界で20年間働いてきましたが、大きく異なります。私のキャリアは、マルウェアを分析し、検出機能を作るところから始まりました。製品のための機能を構築していました。その後、そのチームや部門全体、研究開発チームなどを率いるようになりました。 CTOの役割は、3~6年先の未来を見据え、世界はどうなっているか、その時に起こり得る脅威を防ぐにはどのようなテクノロジーを構築する必要があるかを考えることでした。製品、機能、サービスを顧客のために構築することが全てです。 しかし、今は、組織の安全を確保することです。従業員の行動について考える必要があります。「人事部ではどのようにメールをやりとりしているか」「銀行口座の変更が依頼された時のプロセスはどうなっているか」といったことです。これは、攻撃者が銀行口座の変更を要求している可能性があるためです。 脅威や脅威アクターだけを考えることから、従業員が組織や役割の中でどう振る舞うかを考えることへと変わりました。組織の繁栄と成長を促しながら、従業員がセキュリティ上の間違いを犯さないように道筋を立てる手助けをします。これは全く異なることです。 --考え方の切り替えは容易でしたか。 私は、脅威や脅威アクターへの理解やチームを率いることに強みを持っていたので、当初はそれを頼りにしました。そうしながら、より持続可能なシステムを組織内で構築しようとしました。 その後、物事をより安全にするために制限を加える時に組織の文化はどう働くか、どのような種類のポリシーやプロセスが機能するかを学びました。これは、チェックとバランスを導入し、そこから学び、上手くいかないものは取り除くという作業を継続的に進めていくという感じです。 CISOがセキュリティを組織の文化に適合させ、その一部にしようとするのは、大きな課題の一つです。これは、どの組織も違うためです。 --最後に、ほかのCISOに向けて自身の経験に基づいたメッセージはありますか。 私からのメッセージとしては、次のようになります。 コンプライアンスがあり、セキュリティがあります。さまざまな規制や認証があり、顧客のためにする必要があることもあります。そのため、セキュリティの観点からもはや問題ではなくても、コンプライアンスのためにコンプライアンスに取り組まなければならないこともあります。 私たちがセキュリティに取り組むのは、組織を危険にさらそうとする脅威アクターが存在するからです。私たちが最も力を注いでいるのはそのような領域です。 コンプライアンスのためにコンプライアンスに取り組む必要があるというのは理解できます。ですが、最低限にとどめ、絶対に必要な時だけにしてはどうでしょう。それ以外では、コンプライアンスをセキュリティの一部にすることで、セキュリティに貢献させてはどうでしょう。コンプライアンスがセキュリティを支え、その逆にならないようにするということです。 (取材協力:ウィズセキュア)