CISO サバイバル ガイド: 金融サービス組織がより安全にクラウドに移行するには

※この投稿は米国時間 2022 年 11 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。

新学期の始まりに子どもと大人が期待や不安を抱くのと同様に、金融サービス組織にとっても、クラウドへの移行の開始は簡単ではないかもしれません。

最高情報セキュリティ責任者（CISO）は、組織のデジタル トランスフォーメーションのクラウド セキュリティ対策を主導する必要があります。この複雑なタスクにはさまざまな疑問が付きまといますが、Google サイバーセキュリティ対応チームのメンバーがその答えを提供します。どの組織にも通用する、画一的なクラウド セキュリティ アプローチは存在しません。Google は、デジタル トランスフォーメーションという魅力的な新世界への移行と、サイバーセキュリティ専任の堅固なチーム作りという点で、金融サービス組織の支援したいと考えています。

Google はこれまで、トランスフォーメーションの過程にある多くの金融サービス組織を支援してきました。組織の目標は、サイバーセキュリティ目標の達成方法を革新することから、移行後の立ち上げに必要なセキュリティ コントロールを最小限に抑えることまで多岐にわたります。また、運用面と技術面のニーズ、資金源、リスク許容度も組織ごとに異なり、そのすべてがセキュリティ戦略を根本的に変える可能性があります。

Google は、クラウド CISO オフィスから実際的な知識と経験を提供し、組織がクラウドへの移行を大胆かつより安全に行えるよう支援しています。これは、運命共有モデルを施策として、セキュリティ面でのお客様の成果を最大限に高めることに対する Google の取り組みの一部でもあります。私たちは、組織の安全を確保することが、より安全な世界の構築につながると強く信じています。

移行を開始する前に解消しておくべき多くの懸案事項

クラウドへの移行を間近に控えた組織からよく寄せられる質問は、次のとおりです。

• 今回が初めての移行ですが、まず何を気にかける必要がありますか？

• 技術的・サイバーセキュリティ的負債をクラウドに移さないようにするにはどうすればよいですか？

• 注意する必要のある主な脅威として、どのようなものがありますか？

• どのようなデータをオンプレミスで引き続き管理しなければなりませんか？

• 重点課題に適切に対処するには、チームをどのように編成すればよいですか？

これらの質問の内容からわかるとおり、テクノロジー部門とセキュリティ部門のリーダーは、クラウドへの移行をビジネス変革の機会として利用しようとしています。それは素晴らしい考えです。ただし、技術的負債やサイバーセキュリティの負債は、「意図せず生み出されたものだからクラウドに移行すればチャラになる」わけではありません。これらの負債をなくすには、堅固な基盤を確立し、クラウドの利点を活用してリスクを軽減するという協調的な取り組みが必要です。 

これらの懸念事項とそれに対処するための戦略は、組織とその運営、テクノロジー、人員、そして CISO のリーダーシップに基づいて分類できます。

組織におけるクラウド思考の推進

昨今のセキュリティ チームは、NIST サイバーセキュリティ フレームワークなどのセキュリティ コンプライアンス モデルに基づいて編成されています。この方法は、セキュリティ コントロールや一般的なセキュリティ対策について議論するための土台を提供しますが、最適な効果をもたらすセキュリティ チームを編成するための最良の方法であるとは限りません。

また、こうしたフレームワークのほとんどは、規制の厳しい業界でクラウドが広く採用される前に開発されたものです。今では、特殊なケースや業種に対応する、専門分野に特化した知識とツールが求められるようになっています。 

クラウドの普及に伴い、フレームワークを進化させて新しい脅威に適応するとともに、迅速なビジネスの変更とアジャイルな IT によって新しい運用環境に順応する必要があります。基本的に、デジタル トランスフォーメーションでは、組織のチェンジ マネジメント能力が問われます。デジタル トランスフォーメーションの前準備として重要な要素は、組織の人員をオンプレミス思考から脱却させて、新しい考え方を採用するように導くことです。

クラウド セキュリティに向けた CISO のメンタルモデル刷新の必要性で指摘したとおり、デジタル トランスフォーメーションの過程および完了後のセキュリティでは、ネットワークとエンドポイントのセキュリティ、検出と対応、データ セキュリティ、Identity and Access Management（IAM）がクラウドでどのように機能するかに着目し、それらの機能の違いを利用して、復元性に優れたセキュリティ体制を整える必要があります。  

適切な質問がセキュリティの変革を促進

戦略的および戦術的な決定を下す際に重要となるのは、セキュリティ コントロールを実装する理由を自問することです。 

デジタル トランスフォーメーションは、チームについて再検討する絶好の機会をもたらします（クラウド トランスフォーメーションでは文化が最重要であるため）。これにより、ファイアウォール、ウイルス対策ソフトウェア、アプリケーション、データ保護、全体的なセキュリティおよびリスク体制、バックアップ プランについて、組織が推進している戦略に沿った変革への道が開かれます。技術面のコントロールを最初に変更しても、成功につながることはほとんどありません。

セキュリティ目標の最も効果的な達成方法を決定するには、明確なビジョンを抱き、目標を設定する必要があります。ほとんどの場合、これは、CISO とそのチームがコンフォート ゾーンを抜け出して、テクノロジー部門、ビジネス部門、その他のパートナーと協力し、成功を収める必要があることを意味します。組織がオンプレミスでのこれまでのやり方に固執すると、クラウド トランスフォーメーションは非効率的になりやすく、ビジネス部門がアジリティとセキュリティを手に入れることはできなくなります。 

MIT と連邦準備制度理事会が 9 月に主催した会議、金融サービス業界におけるサイバーリスクの測定では、聴講者の一人が「ファイル整合性監視プログラムがインストールされているかどうかをサイバー保険会社が尋ねるのはなぜか？」という重要な疑問をパネルに投げかけました。

サイバー保険会社によるこのような質問は、デジタル トランスフォーメーション プロセスに合わせて進化させる必要があるマインドセットを示しています。私たちは、手法やアーキテクチャについて再考する新たな機会を積極的に受け入れるべきです。ファイルの整合性だけを確保しても、組織の全体的なリスクの軽減にはほとんど効果がありません。サイバー保険会社が目的に応じてすべき質問は、「トランザクション フローにおいて重要な決済データが変更されるのをどのように防いでいますか？」や「本番環境で実行されているソフトウェアが承認され、変更されないことをどのように保証していますか？」などです。 

ファイルの整合性を監視すれば、両方の質問に答えられるようになりますが、サイバー保険会社の質問票に記載されている質問に答えても、価値はほとんどありません。これらは〇×形式のチェックリストにすぎず、セキュリティ上のメリットはほぼ皆無です。クラウドは、標準的なコントロールに関する再考、そしてセキュリティ面とビジネス面におけるより優れた成果という 2 つの要素に、等しく機会を提供します。 

クラウドでのセキュリティの実装を開始するにあたっては、組織にとって理想的なセキュリティ体制とはどうあるべきかを念頭に置き、どのように目標を設定して達成できるかについて関係者（ビジネス リーダーや IT リーダーを含む）と認識を一致させることが重要です。最初のステップは、組織がどれだけの圧力に耐えられるかを知る貴重な機会となります。1 回で成功する CISO はごく一握りですのでご安心ください。状況に柔軟に適応し、変更をいとわず、組織内の衝突を最小限に抑えるよう努めるべきです。 

この議論の続きは、運用変革を開始する際の実際問題に焦点を当てた次回のブログで取り上げます。

詳細については、CISO のフラストレーション、成功、教訓に関するポッドキャストと、クラウド セキュリティの変革に関するガイダンス レポートをご覧ください。その他のホワイトペーパーやガイダンスについては、Google サイバーセキュリティ対応チームのサイトをご確認ください。