2023年、世界トップクラスのCISOはいかにして予算と取締役会の信頼を勝ち得ているか?
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
2023年、世界トップクラスのCISOはいかにして予算と取締役会の信頼を勝ち得ているか?
この記事の初出は SCマガジン.
CISOはますます危うい立場に立たされている:より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を減らし、そして急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止するものであるにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できるような言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。
世界トップクラスのCISOは、顧客の信頼やブランドの評判を高め、利用可能なあらゆるツールを活用して紛れもない価値を創造する、総合的なセキュリティ・プログラムを主導しています。それは、一般的なセキュリティの落とし穴に対する戦略的かつ予防的なアプローチと、卓越したセキュリティを維持するための時間やリソース、人材は決して十分ではないという考え方を捨てることから始まる。
役員室での議論を変える
現在の経済情勢では、企業や部門が支出する資金、雇用、および事業目標に対する戦略的影響に対する監視の目を免れることはほとんどありません。現代の企業に大規模なサイバーセキュリティ・プログラムが必要なのは当然のことのように思えるかもしれないが、それは組織にとって大きなコストであり、投資対効果という観点から正当化するのは容易ではない。
C-Suite リーダーと取締役会の利害関係者は、スプレッドシートの数字以外の意味でも、サイバーセキュリティの取り組みから予測される成果を明確に理解する必要があります。技術的な知識や理解のレベルはそれぞれ異なるため、CISO は分かりやすいメッセージングでケースを提示する努力をしなければならない。プログラムの規模、何を守る必要があるのか、誰を有効にする必要があるのかを説明し、クラス最高の事例を提供する。攻撃は増加の一途をたどっているが、予算は追いついていない。
業種を問わず、あらゆる企業が急速にテクノロジー企業になりつつあると言われて久しい。ほとんどの組織ではデジタル・ファーストのアプローチが主流であり、これは膨大な攻撃対象領域を意味するため、その時点で可能な最高の保護が必要となる。セキュリティ・リーダーは多くの帽子をかぶっているが、(手遅れになるまで)見過ごされているのが、本質的に顧客の信頼の管理者であるということだ。これは、価値提案として誇張しすぎることはなく、セールスやマーケティングの目標と同じくらい重要である。
セキュリティに対する予防的アプローチの価値を証明する。
現在のサイバーセキュリティに関する統計は目を覆いたくなるようなものだが、FUD や恐怖を煽ることに乗っかっても、予算増を勝ち取るためには通常、無駄な戦術となる。サイバーセキュリティの優先順位が低いと主張する企業のリーダーはほとんどいないが、既存のリソースを活用してより良い成果を上げるような進取の気性に富んだ戦略が提示されれば、予算の増額を受け入れる可能性ははるかに高くなる。
Neustar International Security Councilの最近の調査によると、既知のサイバーセキュリティ問題に取り組むために十分な予算があると感じている企業はわずか50%に過ぎない。また、2021年から2022年にかけて世界的なサイバー攻撃は38%増加しているため、平均的なCISOにとってはさらに困難な前途となりそうだ。しかし、真に世界トップクラスのセキュリティ・リーダーは、このような苦境を乗り越え、逆境を乗り越えてイノベーションを起こすことができる。
多くのシナリオにおいて、予防は治療よりも簡単で単純であり、サイバーセキュリティも同様である。全体論的なセキュリティ・プログラムは、事後的な対策にとどまらず、多くのCISOが懸念しているトップ3に脆弱性管理が入っているように、開発者がこの動きに不可欠な要素であることは理にかなっている。開発者には、一般的なセキュリティ・バグに正面から取り組むための実践的な教育が必要である。私たちは今、低品質で安全でないコードを言い訳にし続けることはできない段階にきており、開発者集団のスキルアップは、コードレベルの脆弱性に対する最も費用対効果の高い強力な救済策である。
CISOが既存の予算を維持するために戦うことは極めて重要であり、特に開発者にとっては、扱いにくいセキュリティ技術スタックに次の「銀の弾丸」を追加するよりも、役割ベースのセキュリティスキルアップの利点を詳しく説明する方が、勝利への近道となる。
セキュリティはブランドの基本であるべきだ。
ほとんどのCISOは、マーケティングへの情熱を発揮するためにその職務に就いたわけではないが、少なくとも財布の紐を握る人たちに自分のケースを提示する際には、この分野に取り組むことができるだろう。
サイバーセキュリティ・プログラムが顧客の信頼とブランド・ロイヤルティに与える影響は、いくら強調してもし過ぎることはありません。対照的に、厳格なセキュリティ慣行を中核的なブランド価値と一致させることで、データプライバシーと保護が単に念頭にあるだけでなく、顧客が信頼できるものであるという明確なメッセージを送ることができます。
現代のCISOは、セキュリティ戦略とポリシーの競争上の優位性を、継続的な顧客の好意的な感情と信頼に関連して強調するために時間をかけることが重要である。消極的なセキュリティだけでは同じインパクトは得られず、利用可能なあらゆるリソースを使用して特権資産を保護することに焦点を当てたバランスの取れたアプローチが、究極の差別化要因となり得る。
言い訳の余地はもうないが、真に変革的なセキュリティ戦略のための十分な資金を求める上で、CISOが強調できる説得力のある理由はたくさんある。
