本文の内容は、2024年8月13日にMatt Stamper が投稿したブログ(https://sysdig.com/blog/how-highly-effective-cisos-lean-forward-with-proactive-risk-management/)を元に日本語に翻訳・再構成した内容となっております。
どのエグゼクティブも、特にCEOやCFO、そして取締役会のメンバーにとって、合理的に予測できたはずのリスクに不意を突かれることを望んでいません。CISO Desk Reference Guideにおいて、Gary Hayslip、Bill Bonney、そして私が詳述したのは、CISOが企業全体のリスク管理の実践において、デジタルやサイバーリスクを文脈化する上でいかに重要な役割を果たすかということでした。このガイドの出版以来、リスクを企業のコア戦略やイニシアティブに関連付けて文脈化する重要性はますます高まっています。
CISOの役割は、基本的にリスク管理にあります。これまでは、ネットワーク、オペレーティングシステム、エンドポイント、その他のデバイスなど、比較的限定的なIT分野に焦点を当てていました。しかし、時代は大きく変わりました。私たちが保護する組織が新たなビジネスモデルを取り入れ、新技術を導入するにつれ、積極的に管理すべきリスク要因の範囲は劇的に増加しました。これらの新しいリスク形態と、それが組織に与える潜在的な影響をどのように管理するかが、私たちの仕事を非常に興味深いものにしています。サイバーセキュリティほど、現状を維持することが求められる職業はほとんどありません。
CISOにとっての典型的な課題は、新たなリスクが出現するにつれて既存のリスクが消えるわけではないということです。私たちは、管理すべきリスク要因が次々と積み重なる「ドッグパイル(混戦状態)」に直面しています。私たちは、リスク要因の優先順位をつけ、それに応じてリソースを割り当てることで、組織にとって新しいリスク要因を効果的に対処することが求められますが、これには組織にとって歴史的な背景がない場合も多くあります。このリスクの積み重ねのダイナミクスの結果を過小評価することはできません。現状を維持できなければ、合理的に予測できたリスクに不意を突かれる結果を招くでしょう。一方で、基本的なセキュリティ対策を怠れば、「なぜ『X』、『Y』、『Z』を実行しなかったのか?」という疑問が残るセキュリティインシデントが発生する可能性があります。
つまり、私たちのセキュリティプログラムは、基本を忘れずに、アジャイルで先を見据えたものでなければなりません。私たちのコミュニティには、基礎的なセキュリティ対策に対応するためのセキュリティプログラムを開発するための素晴らしいアドバイスがたくさんあります。しかし、私たちの役割はそれ以上のものを求められます。私は常に、新たなリスクに対して、CISOがどのように対応しているのかに興味を持ってきました。これらのリスクは、多くの場合予想外の場所から現れ、企業を不意打ちにすることがあります。私はCISOが積極的に協力するコミュニティに属しており、Gartnerでの在職期間中には、世界中のCISOと話す機会がありました。私は効果的なリスク管理に関するコミュニティの洞察や視点に深く感謝しています。
過去四半期にわたり、私は次の基本的な疑問に取り組んできました。「CISOは、新たなリスクに対して迅速に評価を行い、リスク軽減のためのリソースを割り当てる一方で、現行の活動やイニシアティブを損なうことなく、どのように対応しているのか?」この疑問に答えるために、私は様々なセクターの同僚と話をしました。これらのCISOは、私の意見では、私たちの業界で最も優れたプロフェッショナルの一部であり、大規模な多国籍セキュリティプログラムを運営しています。彼らが組織内で効果的なサイバーセキュリティリスク管理プログラムを積極的に管理し、リソースを割り当てる方法について、その集団的な知恵をまとめたいと思いました。
目立ち、効果的にコミュニケーションを取る
CISOの役割は、組織図の深いところに埋もれていたり、机の後ろに隠れていたりするべきではありません。私が話をしたCISOたちは、全員が非常に優れたコミュニケーターであり、ビジネスに精通したプロフェッショナルでした。これらのCISOは、チームだけでなく、組織全体の同僚とも積極的に関わっています。ある場合には、この関わりはステークホルダーとの月次ステータスレビューで正式化されていました。多くのCISOにとって、この関わりは、正式なレビューと、必要に応じて非公式にリスクの話題を扱う「ウォータークーラー」ディスカッションの組み合わせでした。これらのCISOは、自分たちのビジネス、業界、および同僚のイニシアティブに対して強い好奇心を持っています。正式なリスクディスカッションには、企業リスク委員会との定例議題や、上級幹部や取締役会との直接のコミュニケーションが含まれていました。どのCISOも、重要なステークホルダーとリスクについて正式に話し合うことなく1ヶ月以上を過ごすことはありませんでした。すべてのCISOが、これらの会話の間に特定されたリスク要因の状況とその対処を記録し追跡するために、リスクレジスターを維持することの重要性を強調していました。
他の多くのCISOと同様に、このグループも地域のCISOコミュニティに積極的に関わっています。これらのネットワークは、非公式であれ正式であれ、脅威の状況、効果的な対応策、そして役割の変化するダイナミクスを把握するために不可欠です。私も個人的に、これらのコミュニティがいかに効果的であるかを保証します。私はサンディエゴCISOラウンドテーブルのメンバーシップを非常に価値あるものだと感じています。コミュニティへの関与に加えて、これらのCISOは業界の学生であり、貪欲な読者でもありました。
技術とサイバーリスクをビジネスに直接関連付ける
私たちは、新しい技術が次々とデスクに届く職業に従事しています。たとえば、生成AIの革新的な使用方法や、現代のクラウドアーキテクチャーの不可欠な部分としてのマイクロサービスの出現、新しい必須アプリケーションなど、私たちの役割は、技術の変化に対して好奇心と不安の両方を引き起こします。そして、すぐに「これがどのように悪用されるのだろうか?」というデフォルトの思考に切り替わります。私たちのいわゆる「攻撃面」は日々拡大しているように見えます。
私が話をしたCISOたちは、このダイナミクスを鋭く認識していました。現状を維持することは偶然には任せられていませんでした。
彼らは、非常に効果的でリスクに焦点を当てたセキュリティプログラムを運営し、技術、デジタル、およびサイバーリスクをビジネスやそのイニシアティブに関連付ける専門家です。これらのディスカッションは「空が落ちてくる」というような、同僚に恐怖を与えるような過剰な議論ではありません。これらは、特定されたリスクを企業の影響、つまり財務、運営、評判、あるいは私たち全員が直面する規制の課題などに関連付けた、慎重でビジネスリスクに基づく議論でした。たとえば、いくつかのCISOは、生成AIシステムと、機密性の高い企業データがこれらのアプリケーションに投入された場合に、その組織の知的財産(IP)に与える影響について、組織のリーダーと議論したことを説明しました。リスクはビジネスへの影響の観点から伝えられ、その影響は曖昧ではなく、定量化されていました。これらのCISOは、企業リソースの管理や、提案されたリスク軽減策の財務的影響を理解することに優れています。
企業リソースの効果的な管理者であること
私たちのセキュリティプログラムは、合意された許容範囲内でのリスク削減、規制や契約上の義務の遵守、あるいはその効果がビジネス開発や顧客のオンボーディングをどのように促進するかといった、ビジネス価値を生み出す必要があります。このビジネス価値は定量化されなければなりません。これらのCISOは、予算サイクルの間に新たなリスクが発見されたときに、リスク処理のための資金を調達するために、積極的なビジネス関与の価値を強調しました。専門的なセキュリティ予算の管理における彼らの才能は、過小評価されることはありません。すべてのCISOは、リスク処理前の固有リスクと、制御実施後に残る残留リスクを分析する能力を強調しました。彼らは、「リスクを軽減するための費用」の財務コストを理解し、伝えることができます。この財務的な才覚は、特にCFOとの間で信頼と自信を生み出します。これらのCISOは、新たなリスクが重大なリソース(財務、人員、時間のコミットメント)を必要とする場合に、上級同僚との間で善意の予備を効果的に活用できました。
予想通り、これらのCISOは、企業のセキュリティポートフォリオのアプリケーション、ツール、およびサービスの状況に精通していました。これらのアプリケーションを合理化することは、積極的なサイバーリスク管理の一環として不可欠でした。更新および有効期限は、組織の実際のリスクおよび脅威の状況をより反映した新しいセキュリティサービスのために、古いセキュリティツール、サービス、およびアプリケーションを廃棄するために宗教的に使用されます。
私たちが組織を運営するために依存しているアプリケーションやサービスが新しい技術に移行し続ける中、セキュリティツールを最新の状態に保つためには、継続的な注意が必要です。私たちの敵は、高速で動作する自動化された技術を使用しています。これにより、セキュリティスタックとリスクが発生した際のタイムリーな対応に、非常に大きな時間的課題がもたらされます。これらのCISOが伝えた戦略は、前向きなリスク管理の明確な例です。私たちの職業にはそれ以上のものが求められています。