解説： CISOの最初の100日間における取り組み

～テクノロジーインサイトブログを翻訳してご紹介しています～

脅威が進化しサイバーセキュリティのリーダーに対する個人的な責任が高まる激動の時代において、CISOはやりがいや充足感が得られるポジションです。CISOは、高度化する攻撃や潜在的な地政学における敵対者、サイバーセキュリティが組織の価値に与える重大な影響と戦わなければなりません。全てのCISOにとってその役割を成功に導くためには、CISO就任後の100 日間における取り組みが決定的に重要です。

新しい職務に就任して最初に着手する計画において、企業文化や価値観、関連する取り組みを把握すること、すなわち、会社がどのように運営されているのか、同業他社と何が違うのかを理解することが重要です。これらの重要なインプットは、セキュリティがビジネスのゴールと目標を最適にサポートすることを保証します。

関係者との面談

CISO は、早い段階で主要なリーダーシップやビジネスのステークホルダーと面談し、ビジネス上の課題においてどの程度セキュリティに対処できているか、彼らの見解を得ることを優先しなければなりません。このディスカッションでは、以下のような点を確認します：

• 顧客と株主の価値を生み出すために、鍵となる事業の重要な要素は何か？
• 今後3～5年間におけるビジネスの優先課題は何か？
• セキュリティは、これらの課題と今までどの程度整合してきたのか？
• 各部門と組織は、どのような経営課題に直面しているのか？
• 現在セキュリティチームのサポートが必要と考えられる取り組みやプロジェクトはあるか？

この段階で、一般公開されていない情報も含めて、過去のサイバーインシデントに関する情報を調査することを推奨します。

• インシデントがどのように発生したかを理解する
• インシデントの検知・対応能力がどの程度タイムリーかつ効果的であったかを評価する
• インシデントが組織にどのような影響を与えたか特定する
• 今後、同様の脅威を軽減するため／サイバーセキュリティプログラムの成熟度を向上させるために、どのような教訓を得たかを理解する

CISO は、組織についてより深く学び、経営幹部（C-suite） の視点に立って、自身の認識とセキュリティチームの認識のバランスを取ることが重要になります。CISOは時間をかけてセキュリティチームメンバーの声に耳を傾け、率直なフィードバックを促し、新しいリーダーとしての期待を明確かつ率直に説明することにより、彼らとの信頼関係を築き、曖昧さを避けることに集中すべきです。CISOはセキュリティチームの知見と視点を活用し、組織におけるサイバーセキュリティの優先事項について理解を深める必要があります。成功にはセキュリティチームの賛同が不可欠です。

サイバーセキュリティ能力評価とリスクの伝達

当社が推奨する次のステップの一つは、セキュリティプログラムの成熟度レベル、およびその能力を評価することです。既存のセキュリティポリシーや手順、人材やプロセス、テクノロジーを分析することでセキュリティプログラムの能力を評価し、セキュリティポリシーや手順とセキュリティプログラムの目標とのギャップを特定することでガバナンスの強さを理解します。成熟したセキュリティプログラムを有する組織においてCISOの職務に就く場合は、既存のセキュリティプログラムや現在の戦略、ロードマップを分析することにより、現在のセキュリティプログラムが組織のビジョンや経営目標に沿っているかどうかを判断します。

使用中のツールやテクノロジーを評価する際には、以下を確認します。

• ツールやテクノロジーが適切に導入され、セキュリティ目標を満たしているか
• 最新のサイバー脅威に対応できるかどうか

また、スタッフのレベルや既存のリソースの能力を徹底的に見直すことは、セキュリティプログラムの目標とのギャップを特定するのに役立ちます。業界で認められているフレームワークに照らして成熟度を評価することと、継続的にフレームワークと整合することにより、サイバーセキュリティプログラムを向上することを推奨します。

CISOの最初の100日間においては、適用される規制や契約上の義務に対するコンプライアンスの現状を把握することも必要不可欠です。組織内の法律顧問やコンプライアンスの専門家が協力することで、貴重な洞察を得ることができます。また、CISOは、将来のコンプライアンス義務に影響を及ぼす可能性のある法律案や業界特有の動向についても常に把握しておく必要があります。そのためには、業界団体との関わり、関連フォーラムへの参加、規制機関とのオープンなコミュニケーション・チャンネルの維持が欠かせません。プロアクティブな姿勢を維持し、コンプライアンス文化を醸成することで、組織は進化する法的・規制的要件に迅速に対応できるようになり、強固なサイバーセキュリティ戦略を確保することができます。

Solar Winds社とそのCISOに対するSECの最近の告発 を考慮すると、CISOは明確で包括的なリスクコミュニケーション戦略を確立し、自らの役割とそれに伴う潜在的な個人責任についても考慮することが必要です。つまり、リスクを分類し、伝達するための明確かつ正式なプロセスや基準があることを確認する必要があります。また、システムの脆弱性やビジネス上の脅威を特定し、これらを記した文書を維持・配布するための厳格な方針や、リスクコミュニケーションに特別な配慮を払わなければなりません。最新のリスク評価やリスク認識が無い場合は、これらがCISOのやるべきことリストの最上位になります。

計画の策定

組織の規模によっては、CISOの最初の100日を超えても、これまで取り上げたタスクが完了しない可能性があります。経営層と協力し、成果を得るために全体的な戦略につながる現実的なスケジュールを策定します。最初の成熟度評価の後、能力やリスク、企業目標に合わせたロードマップをすぐに作成しなければなりません。

セキュリティロードマップは、特定されたセキュリティのギャップを是正し、当面の、戦術的かつ長期的な戦略目標を支援するために設計された取り組みの概要を示すものでなければなりません。また、このロードマップには、マイルストーンやスケジュール、特定したオーナー、リソースの割り当てを含む実行可能な計画を含むことが必要不可欠です。

CISOは、計画の策定にあたってセキュリティチームから意見を得るとともに、同僚やセキュリティ以外のステークホルダーと協力すべきです。また、経営幹部や取締役会によってロードマップが見直され、彼らの支援を得るべきです。経営層の関与は、セキュリティプログラムの目標を達成するための取り組みの透明性を提供し、必要な予算と資源に対するコミットメントを確立します。組織として必要なリソースを確保できない場合は、限定されたリソースで実行するセキュリティプログラムの取捨選択について、リスクに基づいた率直な議論を経営層と行う必要があります。

マネジメントの専門家であるピーター・ドラッカーは、かつて「測定されるものは管理される（What gets measured gets managed.）」と述べました。CISOが計画やロードマップを策定する際には、セキュリティプログラムの成功基準と、プロセスの早い段階で測定・報告されるKPIについて考えることが不可欠です。KPIを決定することは、プログラムのパフォーマンスのモニタリングと報告に役立つだけでなく、ロードマップの取り組みの進行を管理するために取るべき行動を決定することに繋がります。

セキュリティプログラムを軌道に乗せるためには、ステークホルダーからのフィードバックプロセスをCISOが迅速に構築することも重要であり、取り組み当初から設定されるべきです。事業環境の変化や技術の進歩、予期できない制約や状況の変化により、計画の見直しが必要になることを忘れてはなりません。

激動する環境の中でCISOは組織のサイバーセキュリティ成熟度を目指すレベルに近づけるためには、以下を含むガバナンス機能を効果的に実装することが重要です。

• 計画の柔軟性を維持する
• テクノロジーや業界の動向を常に把握する
• ビジネス目標に注目しながら、セキュリティチームや組織全体のステークホルダーと定期的にコミュニケーションを取り、重要な意思決定を文書化する

最後に、CISO はサイバーセキュリティの技術的なリーダーであると同時に、組織の目標を実現するためのビジネスパートナーであることを忘れないでください。最も有能なCISOは、技術とビジネスの必要なバランスを理解しています。また、一般的なCISOの平均就任期間は3年未満であるため、初日から適切な取り組みを行うことが重要です。

（2024年2月5日）

英語版ブログ「Developing a Security Function During a CISO’s First 100 Days」へのリンクはこちら