最高情報セキュリティ責任者(CISO)としての役割には、当然ながら技術的な知識が要求されます。しかし、特にここ1年でサイバーセキュリティが企業にとって一層重要な意味を持つようになってきたことから、指導力や影響力といったソフトスキルも欠かせなくなりました。それでは、CISOが取締役会、企業、従業員、セキュリティチームにセキュリティメッセージを確実に伝えるにはどうすればよいでしょうか。サイバーセキュリティーサウナのエピソード 53では、エフセキュアのErka Koivunen(エルカ・コイヴネン)と、Meta Defense Labsの共同創設者兼マネージングディレクターであり、SHe CISO Execコミュニティの創設者でもあるChani Simms(チャニ・シムス)の2人のCISOが登場し、あらゆるレベルでセキュリティ文化を醸成するためのコミュニケーションとエモーショナルインテリジェンス(感情的知性)の役割について語り合います。
Janne: ようこそ。
Chani: 今日は、ありがとうございます。
Erka: お招きいただきありがとうございます。
Erka Koivunen, Chani Simms
まず、お二人の経歴とCISOとしての役割についてお話しいただけますか? Chaniからどうぞ。
Chani: 私は、Meta Defence Labsのマネージングディレクターとしての任務と、SHe CISOでのボランティア活動の他に、仮想CISOとDPO(データ保護責任者)として日々中小企業を支援しており、現在は10社ほどの顧客を担当しています。また、サイバーセキュリティコンサルタントも務めています。さらに、ISO 27000の審査員でもあります。ISO 27000のギャップアセスメントや導入プロジェクトを実施しているほか、Cyber Essentials制度にも深く関わっています。これは英国政府が資金を提供しているフレームワークです。 Cyber Essentialsの審査員になって3~4年になります。 また、IASMEフレームワークの審査員や導入時の支援もしています。
また、私のチームだけでなく、業界の多くの人々をトレーニングしたり指導しています。
CISOとしては完璧な経歴と言わざるを得ませんね。
Chani: 今、これらの経験がとても役に立っています。
では、Erka、あなたのことを教えてください。
Erka: 驚かれるような経歴がないことだけは保証できます。エフセキュアに入社して5年あまり、そのうち4年は当社のCISOを担当してきました。エフセキュアに入社する前は、CERT (コンピュータ緊急事態対策チーム) の責任者として、フィンランド政府に10年間勤務しました。 それ以前は、通信プロバイダでCERT機能の責任者を担当しました。
プロとしてのキャリアを通じて、情報セキュリティの暗い面を経験してきました。攻撃の側面ではなく、セキュリティインシデントで大きな被害を受けた組織や人々を見たり、会ったりすることで経験した暗い面です。 被害者の回復を支援してきました。
現在は、主に管理業務を担当しています。株主や取締役会、役員に、すべてがうまくいっていることを納得してもらおうと努力しています。追加投資を少し行うことで、状況はさらに改善されると考えています。
このようなこのような経験から、自分の考えがネガティブになり、状況が悪化していると思わずに、自信を持って改善していると言えるように、気持ちを整理することが大切だと思っています。
お二人のように異なるバックグラウンドを持つ人たちが同じ業務に携わるのですから、これこそがお二人セキュリティの醍醐味だと感じました。 そして、セキュリティで達成しようとしていることに対して、誰もが独自の視点を持ち合わせていると思います。
Chani: Janneは、私のプロフィールが印象的だと言っていましたが、あなたのプロフィールも印象的ですね。私にはない経験をされているのですから。私は、予防とITを適正化する側から来ました。一旦問題が起きたときにどうするか、というようなことです。
Erka: 問題は決してなくなりませんからね。
去年はリモートワークへの移行など、あらゆる状況が変わりました。 それによってサイバーセキュリティの役割も変わったと思いますか?
Erka:
リモートワークに否定的な態度で臨んだ人や、それを妨げるような人は、おそらくすでに解雇されているでしょう。そのため、突然リモートワークへの切り替えが必要になった組織は、オープン化を進め、ゼロトラストモデルに移行し、自宅にノートPCや資料を持ち込むことを受け入れざるを得ませんでした。もしもしCISOがそれを阻止しようとするなら、ビジネスの邪魔をしていることになるでしょう。
その点はChaniの経験にも当てはまりますか?
Chani: はい、Erkaに賛成です。つまり、「こんなことはできない」「これが唯一の方法だ」「これが私のやり方だ」などと不満を言うセキュリティ担当者は、何の役にも立たないということです。彼らは支援者でなければならないからです。行動を規制する治安警察ではないのですから。私たちはあくまで支援者であるべきです。
したがって、ビジネスの方向性を見極め、災害やパンデミックの状況下でもビジネスを継続する方策を考え、そのビジネスに適した選択肢を見つける必要があります。自分が持っているものやリソースを考慮して、ビジネスを継続させるための解決策を見つけるのです。ビジネスの継続性を確保するのが私たちの仕事です。
Erka: セキュリティは単純にオン/オフできるようなものではありません。一口にセキュリティといっても、さまざまな側面があります。 セキュリティのタイムラインにおいて提供できる場所や方法はさまざまです。
企業がよりアジャイルで柔軟なテクノロジーを採用することを全面的に否定することよりも、たとえば、脅威のライフサイクルの中で、もしこのセキュリティ管理機能を放棄したら、後からその機能を補うことができるかを経営者に考えるよう促すことの方が重要です。
しかし、それではもはや技術的な話ではなくなりますね。また、エフセキュアがOmnisperience社に委託して行った最近の調査によると、CISOがステークホルダーとのコミュニケーションを図る上で、エモーショナルインテリジェンスがますます重要になっているという結果が出ています。そして、CISOが純粋に技術的な役割を担うという考え方は時代遅れになりつつあります。お二人の見方も同じですか?
Chani: ええ、その背景を少し説明しましょう。私はIT業界に入ってほぼ19年になりますので、私のバックグラウンドはITだと言えます。
私は欠かさずトレーニングしていましたので、私のTEDxトークをご覧になれば、成長の様子がお分かりになるでしょう。最悪の事態に備えて最善の策を講じるという方法をとってきました。その方法をセキュリティにも、ゼロトラストアプローチにも適用しています。ここれは私が子供の頃に教えられたのです。つまり「誰も信用してはいけない」と言うことです。そう言われて育ってきました。私の父は警官で常に過保護でした。だから私にとってセキュリティは自然なものです。そして、企業に関しても同じことを心がけています。
私がこの業界で感じてきた不満は、職場で起こる問題の多くが、リーダーシップの欠如、自信のなさ、自尊心の欠如が原因だということでした。それは、自分自身を理解していないことに起因しています。
自分の体験していることや自分の感情を理解できなければ、状況に応じて適切に対処することは叶いません。エゴや不安が邪魔をすることもあります。物事に適切に対処する方法を知らなければ、うまくいくはずはありません。利害の衝突も起こります。
相手の立場を理解したり、相手の立場に立って考えたりすることができる「共感」や「思いやり」に目を向けましょう。その方法を学ばなければ、他人を理解することはできません。それでは、どのようにして人間関係を管理するのでしょうか?
もし誰かが言葉で攻撃してきた場合、防御態勢をとって攻撃し返すと、なぜこの人はこのような反応をするのか、なぜこのようなことを言うのか、自分はどのように感じているか、その反応にどう答えればよいか、ということは考えなくなります。これらに思いを馳せることが極めて重要なのです。
これらを理解しなければ人間関係を管理することはできません。私たちの仕事は、お客様、スタッフ、ステークホルダーを含めたすべての関係を管理することに他なりません。
それがエモーショナルインテリジェンスです。自分自身を理解し、物事にどう対処するかを理解し、他人の気持ちを理解し、それらの関係を管理します。これは学ぶことのできるスキルですが、CISSPブートキャンプのように1週間の講習を受ければマスターできるようなものではありません。一生かけて学ぶことです。自然に理解できるようになる人もいますが、そうでない人もいます。
これが自分のキャリアの中で感じてきたことです。 職場で嫌がらせも受けました。私への扱いは他人と違っていました。名指しで非難されたこともありました。それは彼らが私を理解していないからです。そこで私が感じたのは、単にサイバーセキュリティの専門家ではなく、エモーショナルインテリジェンスに優れたサイバーセキュリティリーダーが必要だということです。私は常にこのことを考えています。
Erka: 私の学生時代の副専攻は心理学とリーダーシップでした。これは、組織がどのように機能するのか、組織の一部である人間がどのように機能するのか、あるいは機能しないのかを理解するのに役立ちました。また、私のチームが、全組織レベルでセキュリティ目標に対する取り組みを改善するのに役立っています。
さらに、自分のコミュニケーションを状況に合わせて調整させることで、よりよく理解してもらえるようになったのは確かです。経営者に、技術的な脅威や、脆弱性、設定ミスなどを伝えても、そもそも、それらに対処することが重要であることを理解してもらえるとは思えません。経営者が理解できる言葉に置き換えて伝える必要があります。もし私が経営者に何かを要望する場合は、その投資は将来どのような形で報われるのかを伝えます。
つまり、「他人の気持ちになって考える」といったアプローチが必要なのです。
私たちは、それを「ソフトスキル」と呼び、未だにハードなテクニカルスキルよりも重要度が低いと感じています。 私にはそれが正しいことなのか分かりません
Erka: ソフトスキルは極めて有効です。
Chani: ソフトスキルを身に着ければ本物のリーダーになれます。すべてのセキュリティ専門家は、自分自身をリーダーとして考えるべきだと思います。なぜなら、そこに脅威やリスクがあり、それらを検討する必要があることを、取締役会やチームに説得しなければならないからです。彼らが話を聞かないのは、自分のコミュニケーション能力に問題があるからです。
ですから、リーダーシップには、優れたソフトスキルと、自分も相手も尊重するアサーティブコミュニケーションが必要になります。また、コミュニケーションの取り方、論調、文脈も重要です。そういったものは簡単にはマスターできません。
たとえば、神経学的に多様な人(ニューロダイバース)は、脳の働き方が違います。彼らは脅威を理解しログの流れを見て異常などを見つけるのが得意かもしれませんし、さらにハッキングに長けているかもしれません。一方で一方で一方で、人と話すことは苦手かもしれません。
では、そのギャップを埋めるにはどうすればよいのでしょうか? 彼らを管理するリーダーや同僚はお互いを理解し合う必要があります。リーダーが物事を説明するときに適切に話すことができない場合、そのギャップを埋める方法を探すためにチーム内の誰かを頼りにします。私は、その人を補佐役の相棒と呼んでいます。苦手なスキルがあればその人が弱点を補ってくれます。
私のチームも同じアプローチをしており、SWOT分析から始めています。自分たちの弱点や強みを見つけ出し、お互いに助け合える人を探します。まさにコラボレーションです。
この業界には、技術的な知識を得ようと考えるCISOが大勢います。技術的な知識は、週1回のコースに参加して、何回か実習をすれば数ヶ月のうちに専門家になれます。一方で、ソフトスキルは簡単ではありません。時間をかけて開発する必要があります。人間関係を管理する上でソフトスキルは非常に重要です。セキュリティは単に技術だけではありません。人、プロセス、そして技術です。
CISOが必要とする最も重要なエモーショナルインテリジェンス関連スキルを挙げるとしたら、どのようなものがありますか?特に重要なものは?
Chani: 私にとっては、単に重要だと言うだけではありません。これは私が経験しなければならなかった人生の苦闘そのものです。 15年前の私を知っている人には、今の私は判らないでしょう。なぜなら、当時の私は今と全く違っており、不安で、自信がなく、自分を疑っていて、コミュニケーションスキルも低かったので、人々を混乱させてばかりいたからです。エモーショナルインテリジェンスは、私の人生を助けてくれた重要なものです。そして、アサーティブコミュニケーションスキルは本当に役に立ちました。
ただボスとして人の身近にいるだけではリーダーとは言えません。自分の中から始める必要があります。自分に自信がなければ、人に自信を持てとは言えません。ですから、まずは自分自身を見つめて、その上でアプローチの仕方を考え出さなければなりません。自尊心、自信、本質と価値観、主義、それらのすべてが意思決定をする上で大変役に立ちます。
私には考えるべきことが山ほどありました。どうすれば、もっと良いリーダーになれるだろうか?どうすれば以前の自分よりも良い人間になれるだろうか?そして、リーダーシップスキル、コミュニケーションスキル、エモーショナルインテリジェンスについて詳しく調べました。結論付けると、この3つが本当に大切なことだと確信しています。
なるほど。Erka、あなたにとっては何が重要ですか?
Erka: 自分が成長していると信じることができたエピソードがあります。自己中心的にならないことが役立ちました。15年前、私にとっては脅威、テクノロジー、ソリューションを誰よりも理解していることが一番重要でした。そして、他の人たちには私を見習いなさいと指示していました。
今、私はできるだけ後ろに控えるようにしています。また、事業部門に話をしたり、自分の名前で寄稿する必要があるときは、これはチーム、会社、組織全体の利益のためであり、自分のエゴを追求するためではないと考えています。
分かりました。次にコミュニケーションのもう一つの側面については如何でしょうか?オーデイエンスは聞いているのでしょうか?経営者や取締役会がサイバーセキュリティの重要性を認識するようになった今、必要な投資や取組みを理解して承認してもらうことは容易になったのでしょうか?
Erka: 最初に言いたいのは、興味を持つように指図することはできないということです。 取締役会や経営陣は、セキュリティに注意を払う必要がある理由を理解する必要があります。セキュリティを単にチェックボックスの類だと思っている経営者と、そうでない経営者には雲泥の差が有ります。 そのような経営者はサイバーセキュリティに関連した質問をしても、答えを聞くフリをして、何も学ばずに進んでいくような行動を取ります。
最近では、取締役会や経営陣がセキュリティを改善するために、理解してから行動を起こしたいと考えている、非常に前向きな兆候が見られます。おそらく、深刻な影響が出る恐れがあるという理解が進んだためでしょう。取締役会のメンバーは、会社の状態を適切にリスク評価できなければ、個人的に負債を抱える可能性すらあります。
また、CEOは自分の行動や、特に不作為によって、辞任を余儀なくされるか、会社が苦境に陥る場合もあります。決断しないということは、実際には、そういう決断をしていることなのです。
Chani: 付け加えたいことがあります。まず、エゴについてです。エゴは人間関係を壊す大きな要因になると思います。繰り返しになりますが、それが原因で時々問題が発生しています。誰かに「それは間違っている」と言われると、エゴが顔を出します。
Erka: 思い知らせてやる、と考えますね。.
Chani: まさにそのとおりです。多少のエゴはあってもいいと思いますが、意思決定を行う際には、エゴを認識していなければならないと思います。 この判断は自分のエゴなのか、それとも違うのか?
自分がやりたいと感じたことをそのまま言うのではなく、事実に基づいて正当化する必要があります。私の周りには、それができる人が大勢います。提案された解決策が、最初から気に入らないとします。気に入らない理由は何でしょうか?そこには事実と正当性があるべきです。
チームがあるアイデアを思いついた場合、それを批判するなら建設的な批判をしてください。ただ単に、気に入らないというだけではなく、なぜ気に入らないのか、どうのように修正すべきかを教えてください。それがなければ、ビジネスには役立ちません。
エゴはCISOに限ったことではありません。CISOの話相手のことでもありますね。取締役会や経営陣に対しても同様です。では、このような人たちと、エゴを抜きにして話をするにはどうしたらよいのでしょうか?
Chani: CISOの場合は、自社のビジネスを理解する必要があります。とても重要なことです。 自社は何をしており、どこを目指しているのか?次にリーダーに目を向けます。そのビジネスのオーナーは誰か?何が期待されているか?何を目指しているのか、どんな性格なのか?その人たちを知る必要があります。
ビジネス戦略を理解したら、CISOとして今日のビジネスの阻害要因に注目します。規制か?侵害か? 人間か?事業の継続を阻止したり、目標を達成するために必要な作業を遅らせたりする要因は何でしょうか?
その上で、GDPRなどを確認します。GDPRが発令された時は、システムに保存されている個人データや機密データがどれだけあるか、またその処理方法を調べる必要が生じました。 誰が処理しているのか?どこに送付されるのか?また、これらのデータを収集するデータ主体の権利を管理しているか?確認しなければならないことが山ほどあります。
したがってしたがって、CISOとしては、データセットを理解し、ビジネスの方向性についても見極める必要があります。次に適用を受ける法律、規制は何でしょうか?
それが出発点になると思います。 それでは、これらの法令を遵守しなくてもビジネスは運営できるのでしょうか?いいえ。企業の経営者の観点からすると、顧客や投資家を増やすと共に、罰金や規制の問題を避けるために投資をしているのです。したがって、これらのことは彼らにとって本当に重要なのです。
私たちは、CISOとしてこれらの規制をどのように遵守するかを検討する必要があります。セキュリティ面では何をすべきでしょうか?ひとつにはGDPRを遵守することです。 GDPRがカバーしているセキュリティ領域は非常に広範で、システムの設計フェーズからセキュリティとプライバシーを確保する必要があります。つまり、GDPRなどを遵守したいならば、設計の段階から取組む必要があるということです。そうでなければ、コンプライアンス違反になります。次に、その投資をどのようにビジネスに活かすことができるかを考えます。
言わばビジネス主導型の投資です。つまり、ステークホルダーや顧客との信頼関係を構築するためにセキュリティを利用するということであり、たとえば認定取得のようなマイルストーンを達成していくことです。これで、自社が信頼に足る企業であることを実証することができます。当社「「当社は責任を持ってお客様のデータを保護しますので、データが他人に渡ってしまうことを心配する必要はありません。」と言えるのです。
ステークホルダーステークホルダーの信頼を勝ち取りましょう。投資家や経営者は、このようなアプローチが大好きです。
Erka: 私は主に当社の取締役会と働いた経験があります。もちろん取締役会の会長は当社の創業者で、サイバーセキュリティを中核にした起業家です。ですから、エフセキュアのことを真に理解し、セキュリティ技術や脅威のことも理解している人がいるという事実を尊重すべきだと思っています。
取締役会のメンバーを過小評価すべきではありません。彼らは、私たちの考え方を理解したいと思っていますし、改善できることを提示したいとも思っています。ここでもエゴに捕らわれないアプローチが役に立ちます。したがって、これは自分の人生をかけたパフォーマンスなので、私の話の邪魔をしないでください、などと言ってはいけないのです。むしろ、改善すべき箇所を多く指摘してもらい、自分のスライドにある曖昧な表現をきちんと説明する機会を得るというアプローチが良いと思います。
私たちは、取締役会にセキュリティを報告する方法を試行錯誤してきました。現在、簡単なものから難易度の高いものまで5つほどの質問を用意しており、それを取締役会で取り上げています。簡単な質問の意図は、保護したい資産は何か、実際にどのように保護しているのか、誰が責任を負っているのかを明確にすることです。
最も厄介な質問は、私たちが実施している管理が、既知の脅威に対して有効であることをどのようにして証明するかということです。それは、信号機のように緑がGOで、黄色が注意というように割り切れるものではありません。そのためには、私たちの仮説を検証し、健全な批判を受けるために何をしたのかを説明する必要があります。そして検証した結果、その仮定は果たして正しかったのかを説明します。
このような筋書きが有効であることが立証されています。取締役会は、私たちが選択した内容をはるかによく理解しています。たとえ私たちの選択の一部に間違いが判明した場合でも、彼らは私たちがたどった行程を理解しているからこそ、支援を惜しまないのです。
このような話は、企業の別の側面、つまりビジネス面からすると、まったく違う話になるでしょう。どのようなものなのか教えていただけますか?CISOがビジネスイネーブラーとなるために必要なことについて話しましょう。どうすればよいのでしょうか?さまざまなさまざまな事業部門や間接部門の責任者に、どのようにして影響を与え、彼らの業務運用にセキュリティを考慮してもらうのですか?
Erka: これは、当社がIT部門を含め全社で、自社のソリューションを日々利用している、いわゆるドッグフーディングアプローチに顕著に表れています。私たちは、ソリューションが自身の目的にどのように適合するかについて、積極的にフィードバックを提供しています。また、満足できない部分があった場合は、広範な市場に対してどのように反映するか検討します。 このようなコデザインパートナーシップは非常に有効だと思います。私は、当社の製品やサービスに遠慮なく声を上げる、批判的なエンドユーザであることに誇りを持っています。
Chani: 私は、法律や規制、そして契約上の要件を3つの観点で見ています。文書化、証拠、説明責任です。 この3つを常に堅持する必要があります。取締役会や経営幹部と話をするときには、次の質問をします。どのような作業に対しても、そのプロセスは文書化されていますか? 責任者はいますか?
オーナーやアセットオーナーが必要な場合もあります。証拠を示すことができますか?なぜなら、法律が容赦なく適用されるときには、これらのことが重要になるからです。罰金を回避するための注意義務を十分に果たしたことを自分自身で証明できなければなりません。
私は、技術屋から起業家、コンサルタント、CISO、DPOなどを経験してきましたが、人生で本当に嫌いだったのが販売することでした。未だにその仕事はうまくできないと思います。
セールスとは、最初は好きではなくても、なじんで好きになっていくものでしょう。
Chani: そのとおりです。しかし、私は起業家とは問題を解決するタイプの人のことだと思います。CISOも起業家のように考えるべきです。自分の言いたいことを世の中に売り込む必要があります。それが仕事のほとんどです。そして、取締役会を説得できるスキルセットを持っていなければ失敗します。いくら素晴らしい解決策を提示しても、最適なコミュニケーションを行い、彼らを納得させるための事実や詳細情報を伝えなければ、失敗することになります。
ですから、CISOは起業家のように考えることも必要です。問題を提起した上で、自分達が提案する解決策、あるいは異なる解決策の選択肢をいくつか提示します。
Erka: ここで注意すべきは、セキュリティ管理者やセキュリティ担当者は、往々にして調子に乗って我を忘れてしまうことがあります。 彼らは本来的に、ビジネス上のメリットの有無に関わらず、また経営者がより大きなリスクを受け入れる意思があるかどうかに関わらず、完全なセキュリティを構築するために存在しているのです。
会社にとって最高に素晴らしいセキュリティを手に入れるというミッションは、会社と組織が賛同する意思がなければ、見当違いの目標になるでしょう。また、売り込むのが得意な人こそ、自分が売ろうとしているものが買い手を納得させられないことも重々承知しているものです。
Chani: はい、そのとおりです。
Erka: 状況に応じて伝えるメッセージを変更します。レクサスを買う余裕のある人が全くいない町でそのディーラーをやっても儲かるはずがありません。
Chani: 問題の解決に努力することはとても重要です。まず、何が問題なのかを明らかにして、いくつかの解決策を提示する必要があります。
事業部門や間接部門と話をするビジネス面でのアプローチは、これまでと同じですか?
Chani: はい、私は常に社内でこの問題を見ています。私は、Too Wolff(トト・ヴォルフ)氏から学びました。 彼がメルセデスのF1チーム代表だったことはご存知でしょう。私はそのチームの熱烈なファンです。彼らの人となりというよりは、彼らが長年にわたって勝ち続けてきた方法やアプローチを大いに支持しています。
彼らは、「見て、話して、解決する」というアプローチを採用しています。問題を見つけたら、それについて話して適切な人に知らせ、対処して、解決します。これが私のビジネスライフにおけるアプローチ方法です。問題を見つけたら、それについて話して、解決してください。そうすれば、陰口を叩いたり、暴言を吐いたり、これではうまくいかないと言って文句を言うこともないでしょう。そんなことはしなくなります。問題を見つけたら、話して、解決します。
人を責めるのではなく問題を責めるのです。そうすれば、有害な文化の醸成を避けることができます。問題を人のせいにするようになれば、非難の応酬が始まり、そこから有害な文化が生まれます。責めるべきは人ではなく問題です。問題が見つかりました。解決する必要があります。そうすればそうやって行けば、人は自分が個人的攻撃を受けているとは感じないでしょう。
誰かがミスをしても、その人を責めたり解雇したりしないでください。そんなことをしても、誰の役にも立ちません。それよりも、問題を解決するにはどうしたらよいかを考えましょう。スキルセットに問題があるか?トレーニング不足か、それともエゴかまかり通っているのか?そして、エモーショナルインテリジェンスのトレーニングに参加してもらいましょう。
多くのCISOは、組織内のセキュリティ意識を高め、建設的なセキュリティ文化を構築しようと懸命に努力しています。特に今の時代は、全員がリモートにいるので、そもそも文化を構築したり、強化することが非常に難しいものです。 お二人はCISOとして、組織内でセキュリティの建設的な雰囲気をどのように支えていますか?
Chani: 私が気づいたことは、ある文化の中に入っていくときには、そこにいる人々を理解する必要があるということです。まず、人々のプロセスが常にあり、その後にモノに対する技術のアプローチがあります。セキュリティ問題を解決する魔法の箱はありません。
まず、従業員に目を向け、セキュリティの観点から正しいことを実行できるように支援する方法を理解する必要があります。不正なリンクや添付ファイルをクリックするだけで、すぐにランサムウェアに対処しなければならなくなることもあります。つまり、従業員がファイアウォールのような防御の最前線になれば、多くの攻撃を阻止できます。このこの時点では、技術的な制御については無視しています。
CISOは組織内の人々のことも理解することがとても重要です。また、従業員にセキュリティプログラムへ参加してもらうためには、彼らに招待されていると感じさせる必要があります。彼らが望んでいるような、何らかの報酬を与えるべきです。強制するようなものではありません。規則すれば、人々は規則を逃れることが上手くなります。だからこそ、組織全体から賛同を得る必要があるのです。
それから、物事を単純化することも大切です。なぜなら、私たちは技術屋なので、つい人を混乱させてしまうことがあることを自覚しています。 私たちが、華やかなセキュリティ用語を駆使すると、まるで、別の惑星にいるようなもので、理解してくれません。 先日の講演でパッチの話をしました。すると、会場にいた女性に「パッチとは何ですか?」と尋ねられました。
私は、自分はなんと愚かなのだろうと思いました。誰もがパッチの意味を知っているはずだと思い込んでいました。私たちは、このような専門用語を知っているのが当たり前だと思っていますが、皆が知っているとは限りません。たとえば、経理担当者と一緒に時間を過ごし、彼らがどのようなボキャブラリーを使っているかを確認してみましょう。会長と話をして、そのボキャブラリーを確認しましょう。
したがってしたがって、小難しいセキュリティ用語や、システムや技術の用語を多用してはいけないのです。 理解してもらえばよいので物事を簡素化しましょう。あなたなら、どうやって物事を単純化してメッセージを皆に伝えますか?
複雑極まる量子コンピューティングソリューションを語って、仲間を感心させるわけではないのです。時と場所をわきまえましょう。いかにして自分のメッセージを多くの人に伝えるかということです。単に「これがセキュリティポリシーです。ここにサインして遵守してください。」と言うよりは、セキュリティ文化を構築する方がはるかに効果的だと思います。
それでは、今日はこの辺で終わりにしましょう。SEGEND:141b38c1-ccbe-4319-936a-b01fdea64695:391SEGSTART:141b38c1-ccbe-4319-936a-b01fdea64695:392ご参加いただき、ありがとうございました
Chani: ありがとうございました。
Erka: ありがとうございました。
カテゴリ