Cloud CISO の視点: リーダーの心理的な負担を軽減
Google Cloud Japan Team
※この投稿は米国時間 2024 年 3 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。
2024 年 3 月最初の「Cloud CISO の視点」をお読みいただきありがとうございます。今回は、最新の「取締役会のためのセキュリティの視点」レポートから一部を取り上げ、サイバーセキュリティのリーダーシップにおいて心理的なレジリエンスを育むことの重要性に焦点を当てます。
これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables
リーダーの心理的な負担を軽減
Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables
第 4 号の「取締役会のためのセキュリティの視点」レポートでは、AI とセキュリティ、サイバーリスク管理、および CISO とそのチームが直面する心理的な負担に組織が注意を払う必要がある理由という、3 つの主要なトピックに焦点を当てました。レポート全体をお読みいただくことをおすすめしますが、ここでは 3 つ目のトピックを取り上げます。
最高情報セキュリティ責任者(CISO)としての役割を果たすことは、決して容易ではありません。CISO は組織におけるセキュリティ チームの代表者であり、かつセキュリティ専門家、エンジニア、監督下にある開発者、組織のセキュリティ ポリシー、さらには直属の経営陣と取締役会といった各当事者の中心に身を置いています。セキュリティ侵害が監視下で発生すれば CISO に非難の矛先が向けられることが多々ありますが、それでも職務から逃げ出すことはありません。最近のデータによると、その役割から来るストレスにもかかわらず、CISO の企業での在職期間は 4.5 年間を超えています。
CISO が 1 つの企業に 5 年間在籍しているという事実は、所属している組織のデータを献身的に守り、セキュリティ チームを支援してきたことの証ですが、だからといってその CISO が喜びを感じているとは限りません。大規模なデータ侵害は増加の一途をたどり、政府機関は厳格な規制要件を課しています。こうした要件には、組織のサイバーセキュリティ対策に関する法的なアカウンタビリティのレベル引き上げ(さらには個人的責任を含む)も含まれます。
CISO がストレスと戦うことの心理的な代償は、正しい意思決定ができなくなるだけでなく、バーンアウトの可能性すらあります。絶え間なく現れる新たな脅威、最も強固な防御でさえ侵害を受ける可能性があるという現状、予算と人員確保の厳しさがセキュリティの決定に与える影響、上級管理職との重大なセキュリティ リスクについてのやり取りなど、すべてが心理的なプレッシャーとして重くのしかかります。
取締役会においては、CISO の心理的なレジリエンスとセキュリティ チームを「企業全体のビジネス戦略の核となるコンポーネント」として優先順位を高めることをおすすめします。
こうした負担により CISO は孤立無援だと感じるかもしれませんが、実際にはそのようなことはありません。組織の CISO は「チームの一員、部署の一員、組織の一員、さらには社会の一員であり、こうしたシステムのすべてが相互に作用してあるパターンを作り上げる。そのパターンは健全なこともあれば、不健全なこともある」と、本レポートで記述しました。取締役会においては CISO の心理的なレジリエンスとセキュリティ チームを「企業全体のビジネス戦略の核となるコンポーネント」として優先順位を高めることをおすすめします。
実際問題として、取締役会と経営陣が CISO の負担を軽減してビジネスの成果を上げるためにできることはいくつかあります。
- 自由に回答できる質問をする: こうした質問は意義のある会話を促し、きめ細かい分析情報を得られます。セキュリティ チームに適切な予算が割り当てられているかと尋ねる代わりに、「セキュリティ関連の予算と、現在のリスク評価とビジネスの優先事項を一致させるためにはどうすればいいか?」と言い換えるといいでしょう。
- サイバーセキュリティへの投資を優先する: サイバーセキュリティは、主要なビジネスリスクであると考える必要があります。適正な予算を適切に分配し、CISO と少なくとも四半期ごとに予算およびリスクについて協議して、あらゆるレベルのセキュリティ リーダーシップに投資することにより、予算や人員確保に関する懸念に対応できます。
- CISO の枠を超えて対応する: 取締役会と経営陣は、事業部門とその他の統制部門にアカウンタビリティを分散させ、最高情報責任者と最高技術責任者にも CISO に匹敵する成果を求めて、強固なセキュリティと復元力への投資を促す必要があります。
- 人材に投資する: 優れたセキュリティ対策は、確固とした対人能力の育成によって強化できます。これにより、多様な個性を受け入れ、分析力から直観力、危険回避能力まで独自の問題解決のスキル習得を促進できます。24 時間体制のオンコール対応は肉体的にも精神的にも負担がかかるため注意が必要です。従業員のワークライフ バランスを支援しましょう。
- リスク管理で連携する: 組織全体でリスクの認知度を高めることに注力し、セキュリティ意識を喚起します。取締役会は経営管理者に、人の傾向を認識し、行動デザインでいうところの「ナッジ」を活用することで、簡単に安全な選択を行えるようにするプロセスとトレーニングを策定するよう求めてもいいでしょう。
CISO オフィスのディレクターの 1 人である MK Palmore も、最近 CISO が負わなければならない心理的な負担に対応しました。彼は次のように述べています。「リーダー陣にとって、仕事が非常に大事であるのと同じように従業員の健康も重要であると理解することは責務です。生活、責任、作業負荷のバランスを取れるようにしなければ、最終的にはなんらかの失敗につながります。」
前回の「取締役会のためのセキュリティの視点」レポートはこちらからお読みいただけます。
その他の最新情報
セキュリティ チームから届いたアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
- Security Command Center Enterprise の発表: Security Command Center Enterprise は、AI を活用した SecOps とクラウド セキュリティを融合した初のマルチクラウド リスク管理ソリューションです。Google セキュリティ ファブリック上に構築され、Mandiant の世界水準の脅威インテリジェンスで強化されています。詳細はこちら。
- Security Command Center に Vertex AI の保護機能を導入: Security Command Center Premium が組織のポリシーに対応し、ポリシーや AI リソースの構成に加えられた変更を準リアルタイムで検出できるようになりました。詳細はこちら。
- Google Cloud でラテラル ムーブメントを防止する方法: Google は、AWS、Azure、Google Cloud で使用される実世界のラテラル ムーブメント手法を取り上げた新しい調査に沿って、Google Cloud 環境を保護するのに役立つ権限設定を推奨しています。詳細はこちら。
- 21 世紀の医療従事者に向けたサイバーセキュリティのレッスンの一部を紹介: 患者の治療と技術の関連性は、ますます高まっています。CISO オフィスの Taylor Lehmann と Bill Reid が、ヘルスケアのサイバーセキュリティ衛生のレベルを向上させることが不可欠である理由を説明しています。詳細はこちら。
- 規制、ロックイン、レガシー: CISO がこうした製造業にまつわる難しい問題を解決する方法: 重要なインフラストラクチャを保護するには、コンテキストと明確性が必要です。クラウド変革を目標達成に役立てる方法を紹介します。詳細はこちら。
- Google のポスト量子暗号に向けた脅威モデル: Google の暗号チームが、従来型の暗号アルゴリズムをポスト量子暗号に移行するにあたっての、セキュリティの考え方と意思決定の要素について共有しています。詳細はこちら。
- Google の 2023 年脆弱性報奨金プログラムを振り返って: 去年、世界中の研究者の助けを得て、Google は自社のプロダクトおよびサービスの数千にも上る脆弱性を特定して対処し、68 か国の 600 人を超える研究者たちに 1,000 万ドルの報奨金を支払いました。詳細はこちら。
- 安全性を重視した設計: メモリの安全性についての Google の見解: メモリの安全性に関する脆弱性は、数十年前から標準的なソフトウェア攻撃の対象になっています。Google がデベロッパーに推奨する、メモリの安全性の問題への対処方法と、Google がメモリセーフなエコシステムに投資している理由について説明します。詳細はこちら。
- GKE Autopilot で Kubernetes のセキュリティを簡単に確保: GKE Autopilot は、Google Cloud の Kubernetes のセキュリティに関する深い知識を適用して、クラスタを本番環境ワークロードですぐに使用できるように構成します。詳細はこちら。
- 2024 年最初の Security Talks をご確認ください: 今月開催された四半期ごとの Security Talks で、Google のセキュリティ専門家がセキュリティ対策を強化し、サイバー脅威に対するレジリエンスを高めるための戦略をご紹介しました。詳細はこちら。
Mandiant からのニュース
- イランの脅威アクターと疑われる攻撃者が、イスラエルおよび中東の航空宇宙・防衛セクターを標的に: Mandiant はこの行為が、中程度の確度でイランのアクター UNC1549 であると考えています。UNC1549 はイランのイスラム革命防衛隊と公にリンクされている脅威アクターである「Tortoiseshell」と部分的に重複しています。Tortoiseshell は以前にも、防衛関連の請負業者と IT プロバイダを標的にしてサプライ チェーンのセキュリティ侵害を試みた経緯があります。詳細はこちら。
- Dalvik を詳しく掘り下げる: DEX ファイルのご紹介: Google では銀行アプリを標的としたトロイの木馬のサンプルを使用して、Dalvik 実行ファイル形式、その構成、分析をより簡略化するための変更を加える方法を調査しました。また、DEX ファイルの変更に役立つツールもご提供しています。詳細はこちら。
- Ivanti Connect Secure VPN への攻撃と永続性の調査: Google は、Ivanti への広範なゼロデイ攻撃に関する調査を、米国の防衛産業基盤を含むさまざまな業種において継続しています。最新の調査結果をご確認ください。詳細はこちら。
Google Cloud セキュリティおよび Mandiant のポッドキャスト
- メガトレンドにまつわる誤解、現実、論争、(そしてもちろん)AI: Google Cloud の CISO である Phil Venables が、ホストを務める Anton Chuvakin、Tim Peacock とともに、AI が新たに追加された 9 番目のメガトレンドである理由、CISO が不快感を示したメガトレンド、最も明白なメガトレンドについて話しました。ポッドキャストを聴く。
- クラウドにおける IAM: 望ましい動作とは: 何年も試行錯誤を重ねてもなお、クラウドでの ID にまつわる失敗が起きるケースがあります。一体何が間違っていて、IAM のベスト プラクティスを広めるにはどうすればいいでしょうか。TrustOnCloud のセキュリティ研究者である Kat Traxler 氏が、Anton および Tim と一緒にクラウドの ID 問題を深く掘り下げます。ポッドキャストを聴く。
- NSA のサイバーセキュリティ コラボレーション センターのディレクターによる、今年の傾向について: NSA(アメリカ国家安全保障局)のサイバーセキュリティ コラボレーション センターのディレクターである Morgan Adamski 氏が、ホストを務める Luke McNamara とともに、Volt Typhoon の脅威などについて話します。ポッドキャストを聴く。
月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。
-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables
