有能なCSOやCISOは、非技術系の経営層に対してセキュリティの重要性を明確に伝え、企業がビジネス目標を達成するためにセキュリティがいかに役立つかを示し、セキュリティとイノベーションを両立させる必要があります。

今日、情報セキュリティはあらゆる企業で大きな懸念となっていますが、有能なセキュリティリーダーは、役員室とサーバールームの両方で同じくらい快適な時間を過ごす必要があります。CISOやCSOは、インシデント対応計画のような従来型のセキュリティ任務に関して精通し、悪意ある人物を寄せ付けないようにするにはどのようなテクノロジーが必要であるかを理解すると同時に、セキュリティをビジネス運営に組み込む方法についても知る必要があります。

将来のリーダーがマスターする必要のある3つのスキルとして、非技術系の経営層に対してセキュリティの重要性を明確に伝えられること、企業がビジネス目標を達成するためにセキュリティがいかに役立つかを示せること、セキュリティとイノベーションを両立させることが挙げられます。これらのスキルは、ビジネスおよびセキュリティリーダーがより効果的に協働するための方法を我々が議論する際に、CEOやCSOが決まって口にするものです。

ビジネスに対するリスクの観点からセキュリティの枠組みを設定

CISOは、経営層や役員会のメンバーに対して技術的な用語を使った場合、セキュリティの重要性は彼らに伝わらないと考えるべきです。経営層や役員会のメンバーは、収益、利鞘、予算などの用語を使って話をするのであり、彼らはファイアウォール、SIEM、インシデント対応などの用語は使わないからです。

このような聴き手の心を動かすためには、セキュリティ上の懸念を会社にとってのリスクに置き換えて提示する必要があります。会社にとってのリスクは、セキュリティリーダーと経営層が強い相互関心を持つ分野の1つです。経営層は会社にとってのリスクを避けることを望みますが、セキュリティリーダーは会社にとってのリスクを何とか軽減しようとします。

セキュリティリーダーにとって、これは企業が直面する可能性のあるリスクを説明することを意味しており、特定のセキュリティポリシーを制定することや具体策を取ることではありません。役員会のメンバーは、CISOがエンドポイントを可視化するソフトウェアを購入するための予算の増加を求める理由を理解できないかもしれません。しかし、そのようなソフトウェアがなければ、ハッカーがネットワークに侵入し、何ヶ月も検知されないままの状態を続け、機密データを流出させた場合に、自社の知的財産が競合他社の手に渡ってしまう可能性があることは、役員会のメンバーにも理解できるでしょう。リスクの影響についてのみ説明し、自分が利用する予定のテクノロジーに関する技術的な議論は避けるようにします。

会社が障害を乗り越えるためにセキュリティがいかに役立つかを学ぶ

有能なセキュリティリーダーは、自分の会社が直面している課題と、そのような課題を克服する方法を理解しています。これらの課題が何であるかを学ぶためには、CISOやCSOは各自のデスクを離れ、その他の幹部、部門責任者、一般社員と会話することが必要となります。セキュリティチームが過去にそのような会話を行えなかった理由を尋ね、従業員が各自の仕事を完了することを妨げた障害を軽減する方法に関してアイデアを募ります。

このような活動では、人の話を聞き取る優れた能力と、ある程度の謙虚さが必要となります。あなたはマルウェアをリバースエンジニアリングする方法や、ファイアウォールの設定方法、情報セキュリティに関するその他のあらゆる事項については知っているかもしれません。しかし、あなたはセキュリティチームの誰かによる入力を含める必要のあるプロジェクトに関しては何も知らない可能性があります。たとえば、CISOは、ユーザーに個人を特定可能な情報を入力するよう求めるモバイルアプリケーションを開発していることを知らない可能性があります。セキュリティのタイプによっては、数千名のユーザーがアプリケーションをダウンロードする前に、そのアプリケーションにセキュリティ機能を組み込むことの方が、インシデントの発生後に遡ってセキュリティ機能を追加するよりも明らかに望ましい措置となります。しかし、あなたが一日の就業時間のほとんどをデスクに座ったまま過ごしているならば、アプリケーションの提供が開始されるまで、あなたはそのアプリケーションについては何も知らないという場合もあり得ます。情報セキュリティは、サイロの中では実現できません。

セキュリティを早期に追加することでイノベーションを維持

IT部門やセキュリティ部門以外の従業員への聞き取りやそれらの人々との会話を行うことは、セキュリティとイノベーションを両立させるという長年の課題を克服する場合にも役立ちます。理想的には、セキュリティはプロジェクトの開始から組み込まれている必要があります。しかし、セキュリティはしばしば開発の障害物として見なされる場合もあれば、見過ごされる場合もあります。

ただし、同僚と会話することにより、セキュリティ幹部は、プロジェクトが完了する前に、他の部門が何を計画しているかを理解した上で、セキュリティに関する懸念を提起できます。より早い時期にセキュリティを考慮するほど、より良い結果が得られます。セキュリティ専門家はしばしば、イノベーションを維持すると同時に、製品をセキュアに保つことができる柔軟で適合性のあるソリューションを提供できる場合があります。

プロジェクトに締め切りが迫っている時点や、製品が完成に近づいている時点でセキュリティに関するアドバイスを求めると、制限付きのセキュリティオプションが残されます。この場合、セキュリティによりイノベーションが抑制されるように見えることがあります。

また、セキュリティを受容する企業文化は、企業がセキュリティとイノベーションを両立させるために役立ちます。このような文化は長い時間をかけて成長するものであり、セキュリティ部門はセキュリティとイノベーションが共存できることを示すことができます。セキュリティ重視の文化を発展させるその他の方法として、経営幹部にセキュリティの重要性を強調させることが挙げられます。繰り返しになりますが、このような考え方は、セキュリティリーダーが技術的な用語を使うことなく、ビジネスにとってのリスクに置き換えてセキュリティについて語る場合に可能となります。

セキュリティリーダーが自分の仕事で優れた成果を収めるには、彼らは自分の責務にはソフトウェアにパッチを適用する以上の仕事が含まれていることを理解する必要があります。また、セキュリティリーダーは、組織全体における人々の心に響くやり方で、セキュリティがなぜ重要であるかを説明する必要があるほか、セキュリティがイノベーションを妨げることなく、セキュリティとイノベーションを両立させる方法を理解する必要があります。

Lior Div(リオ・ディヴ)は、Cybereason Inc.CEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。