CISO サバイバル ガイド: 変革を成功に導くための重要な質問
Google Cloud Japan Team
※この投稿は米国時間 2023 年 1 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。
デジタル トランスフォーメーションに取り組む組織のセキュリティ リーダーは、変革戦略の実施方法に関する難しい質問と複雑な答えに備える必要があります。
前回の CISO サバイバル ガイドに関するブログでは、金融サービス組織がより安全にクラウドに移行する方法について説明しました。組織、オペレーション、テクノロジー(OOT)アプローチの利点のほか、継続的デリバリーや必要な文化的変革などの新しいプロセスの採用など、高度に規制された金融サービス業界が直面しているデジタル トランスフォーメーションの課題について整理し、考える方法を検討しました。
運命を共有するための Google Cloud の取り組みの一環として、この記事では、組織の変革を良い成果に導く会話集を作成するうえで役立つ、適切な質問の方法に関するヒントをご紹介します。多くの場合、正しい答えは 1 つとは限りませんが、思慮深く整然としたアプローチによって的を絞った質問をし、返ってきた答えを偏見のない心で受け止めることで、求める成果を達成できます。本記事の質問は、組織のセキュリティ変革をどこから開始し、どこで終えるべきかを明らかにできるように考案されています。以下の質問をすることで、CISO とビジネス リーダーは、建設的で的を絞った対話を展開できます。これにより、セキュリティ管理の実装と、経営陣や取締役会が設定したリスク許容度の微調整との間で、適切なバランスを判断できます。
会話の導入時に問うべき質問:
組織の文化を定義するものは何ですか?
文化をセキュリティ目標に組み込むための最適な方法は何ですか?
CISO がビジネス リーダーに対して問うべき質問:
変革を成功させるにはどうすればよいですか?
変革の主な目標は何ですか?
(最も)価値のあるデータは何ですか?
廃棄、再分類、移行できるデータはどれですか?
被っても機能を維持できる損失はどのようなものですか?
組織が受け入れ可能な現実のリスクは何ですか?
ビジネス リーダーが CISO とセキュリティ チームに対して問うべき質問:
貴重なデータを保護するためのベスト プラクティスは何ですか?
そうした管理体制を導入すると、ビジネスにどのような影響がありますか?
対処する必要がある主な脅威は何ですか?
CISO とビジネス リーダーが問うべき質問:
重要度が下がったで脅威は何ですか?
ファイアウォールやウイルス対策ソフトウェアなど、より費用対効果の高い制御機能を実現するうえで、どの部分に費用をかけることができますか?
アプリケーションをリファクタリングすることで得られるメリットは何ですか?
私たちは本当に変革(リフト&シフト)を実現しているでしょうか?
ビジネスの目標を達成するために、ID とアクセスの管理をどのように実施する必要があるでしょうか?
最初のワークロードでエンタープライズ レベルのパフォーマンスを確保するために、必要な中核的な制御機能は何ですか?
CISO とリスクチームが問うべき質問:
セキュリティ機能を合理化するために、既存のコード本体の再構築をどのように使用できるでしょうか?
リスクを許容範囲内に抑えるには、どのようにセキュリティ体制をモニタリングすべきでしょうか?
ビジネスチームと技術チームが問うべき質問:
私たちのバックアップ計画はどのようなものですか?
その計画が失敗した場合はどうしますか?
実践的なアドバイスと運用変革の現実
組織によっては 10 年以上にわたってクラウドに取り組み、すでに多くの運用手順に対応し、その過程で痛ましい教訓を得ていることもあります。長期間にわたり安全にクラウドを運用している組織には、文化、運用の専門知識、技術に対するアプローチを理解することで得られるものが多くあることを Google は認識しています。
しかし一方で、準備がおおよそ整ってから初めてクラウド環境での運用方法を考え始める組織がまだ多くあります。そのような場合は、遅すぎる可能性があります。クラウド環境をどのように運用するか運用開始前に詳細が定まっていなければ、誰がその保守において責任を持つべきかもわかりません。
変革の開始にあたって把握すべき重要なステークホルダーや、特定のシステムのエンジニアリングと保守を担当する人物は誰でしょうか。ステークホルダーには、変革の運用に沿ったグループや、運用に合わせたクラウドの制御設計に重点を置いているグループなど、いくつかのグループが存在する可能性があります。
設計段階にオペレーターが関与していない場合、実用的な価値がほとんどない巧妙なセキュリティ管理ができあがることになります。なぜなら、日常の保守担当者は、こうした管理体制を効果的に運用するための専門知識を持たず、そのためのトレーニングも受けていない可能性が高いためです。
多くの組織がクラウド運用に関する適切なスキルを持つ人材の採用、維持に苦労しているという事実から、この事態は複雑なものになっています。既存の従業員をトレーニングして新しいクラウドスキルを習得させ、他の担当職務から離れる時間を与えることで、熟練した多様なクラウド セキュリティ チームを構築できると Google は考えています。
セキュリティ リーダーや熟練したスタッフの離職率が高い組織は、一貫性を高めるために社内文化のかじ取りをする必要があります。もちろん、信頼できるパートナーを活用して社内の知識を補完することもできますが、それは将来の運用費用の面で割高な戦略です。
Google は最近、2~3 年ごとに熟練したスタッフとリーダーが交代するセキュリティ組織に出会いました。この交代の速さは、セキュリティ目標の頻繁なリセットにつながります。このチームは、最良のセキュリティ アプローチを常に見直し続けているにもかかわらず有意義な進歩を遂げていないため、それが「グラウンドホッグ デー」のようだと冗談を言っています。これは模倣すべきモデルではありません。
多くのセキュリティ管理が失敗するのは、その不適切な設計のためではなく、それを使用する人々、すなわちセキュリティ チームが不適切にトレーニングされ、モチベーションも不十分であるためです。これは、離職率が高く、組織上の不整合が他にも見られるチームに特に当てはまります。攻撃を 100% ブロックするセキュリティ管理は正しく設計されているかもしれませんが、それを効率的に運用できなければ、時間の経過とともに管理体制の有効性は無に帰します。さらに思わしくないことに、管理体制が機能していると誤って思い込むことで、ある種の負債を抱えることになります。
次回のブログ記事では、組織のデジタル トランスフォーメーションを通じてセキュリティ チームを導くうえで役立つと思われるいくつかの実証済みのアプローチをご紹介します。
現時点で公開されている情報については、以下をご覧ください。
- Google Cloud、CISO オフィス David Stone
