Rubrik Zero Labsの最近の調査では、重要と考えられるいくつかの厳しい現実に焦点が当てられており、RubrikのCISO諮問委員会から提言を行うことが必要だと考えています。
まず、すでに多く議論されてきたことについて確認しておきましょう。現時点で、CISOになるということは楽しいことではありません。データを増やして使用し、かつデータの安全も確保する方法を知りたい、さらに、うまくいかなかった場合にどうなるのかを把握したいという経営幹部から事業部門オーナーに至るまでの、過剰なまでの期待があります。 CISOはデータのセキュリティに関して責任を負っています。しかし、多くの場合、大規模なデータの作成、保存、管理を統制する権限を持っていません。
実のところ、サイバー攻撃はかつてないといってもいいほどに大きな脅威となっています。一方で、データは大変なスピードで増加して多様化し続けているため、データがどれだけあるか、どこにあるかを把握するだけでもとてつもない作業となります。そのデータがビジネスにとっていかに重要か(または重要でないか)把握することを脇に置いておいたとしてもです。
次に、最近の人工知能(AI)の飛躍的発展があります。AIは今日の問題のいくつかを解決するのに役立つでしょう。しかし、AIはCISOに非常に大きなプレッシャーをかける存在にもなります。まず、AIは全面的にデータに依存しています。このことは、データ保護の能力に一層焦点を当てることになります。 次に、AIはすでに増大しつつある問題の主要な要因です。AIはデータを生成します。大量に、自動的に。データがどれだけあるか、どこにあるか、どうやって保護するのか、これらはすべてCISOが対処しなければならない問題です。Rubrik Zero Labsの最近の調査への批判の1つは、この急速に深刻さを増す課題が十分に取り上げられていなかったというものです。ありていに言うと、AIを深く研究しているのでなければ、今後5年間のことを判断するのは困難です。
今回のレポートは楽観主義と、意思決定におけるその役割に焦点を当てています。CISOは楽観主義の集団として有名というわけではありません。最近は組織の最高幹部レベルでサイバーセキュリティに重点を置いているにもかかわらず、これらの組織は(発言はそうでなくても、行動が)自社の将来についてあまりに楽観的である傾向があります。組織ではサイバーセキュリティについて、取締役会レベルで議論の機会を持っているのかもしれませんが、サイバーセキュリティチームは相変わらずリソースと人材の不足に苦しみながら、ますます大きくなる課題に取り組んでいます。たとえば、AIのメリットについては誰もが思い浮かべますが、際限なくデータが生み出されることの負の側面と、それがサイバーセキュリティにとって何を意味するかについては誰が正確に理解しているでしょうか。現時点でCISOがその人でないとしたら、すぐにも現実になってしまうでしょう。
さらに、CISOは注目を集めつつあるため、しばしば専門外のことで評価や意思決定を行うよう依頼され、自身の業務への対処に支障をきたすことがよくあります。 最近のSECの規則変更やDORAの展開により、この傾向に拍車がかかることが予想されます。
これらすべてを踏まえ、今日のCISOはどのようにしてこれらすべての要因に対処し、1年後あるいは5年後の組織を守ることができるでしょうか。厳しい真実として、もしCISOがこれまでのやり方に固執して着手しないなら。データの安全を適切に確保する能力も可視性も十分ではないまま、単純にデータが増えすぎて保存場所も多くなりすぎるという状況になるでしょう。 しかしながら、もし今いくつかの小さな変更を行うなら、まったく異なる立ち位置を得ることができるでしょう。RubrikのCISO諮問委員会として、この調査はCISOがよりよい未来を築くために目を向けるべき、着手可能な領域を示すものだと考えています。
以下は諮問委員会の提言となります。
可視性を高める
可視性は意思決定に影響します。 データ保護に関して質の高い意思決定を行うには、(1)組織のデータ量、(2)データの保存場所、(3)組織にとってのデータの重要度を把握しておく必要があります。データの規模が大きく多様性に富んでいる場合、これは大変な作業となります。特にハイブリッド環境にデータが分散している場合は難題です。
今の時点で、(1)組織にどれだけのデータがあるか?、(2)データはどこに保存されているか?、(3)データの重要度は?の3つの問いに焦点を合わせておくならば。それが最も必要となる時に、選択肢とスピードを手に入れることができます。侵害が発生して、データの重要度はもちろん、どのデータが影響を受けたかもわからないとしたら、時間が貴重でリソースが足りないというその時にこのような質問に答えるのに大変な時間を費やすことになるでしょう。危機が起こる前にデータの状況を把握しておくことは対応時間の短縮につながり、危機対応における意思決定の質を確実に向上させます。
レジリエンスを構築する
防御を目的とした一般的なインフラ・境界型セキュリティが決して完全には達成できない目標であることは、ますます明らかになっています。最大限に守りを固め、安全対策を講じた組織であってもセキュリティ侵害を免れていません。つまり、誰もがセキュリティ侵害を受ける可能性があります。
実を言えば、この事実を受け入れることはCISOの立場を有利にしてくれます。組織が「侵害があることを想定する」考え方を採用するなら、実現不可能な夢のような目標から、より現実的で達成可能な目標に設定しなおすことができます。「侵害の発生を常に防ぐにはどうすればいいか?」から 「侵害の影響を制限し、できるだけ迅速に復旧作業を行うにはどうすればいいか?」という問いに移行します。これははるかに達成可能な基準として維持できます。
レポートの推奨事項で提案されているように、保護するデータ量を減らすことができます。保護対象のデータが少なければ、保護範囲をより明確に定義することができ、データを復元する必要のある場合にはコストと時間を節約することにもなります。 これにより、特に重要なデータセットおよびアプリワークフローに対する保護レベルを高めることもできます。 これは簡単に聞こえますし実際そうなのですが、厄介なボトルネックを解消する余地を作り出します。
セキュリティの意思決定を民主化する
CISOはリソース不足に苦しんでいます、と誰もが知っていることに触れておきます。事実上、あらゆる会議やフォーラムで人材不足についての統計を目にしています。あまり注目されていないことですが、CISOの役割や各チームの業務範囲が拡大しています。経営幹部や役員会は事業の安全を確保する方法を知りたいと同時に、侵害が事業に及ぼす影響についても把握したいと考えています。リスクの評価と管理は、CISOが単独で担うべきものではありません。 今日のCISOは、異なるシナリオの評価や意思決定者の割り当て、関連リスクの解決への取り組みなどにおいて、同僚との協力に積極的である必要があります。
従来の役割とは別の取り組みに貢献するよう同僚を説得するのは困難かもしれません。だからこそ、Rubrik Zero Labsの今回のようなレポートが重要となります。天文学的なデータの増加について詳しく説明するというのも1つの方法です。まったく別の方法として、数値のことは置いておいて、「このことは今後5年間のクラウドコストにどう影響すると思う?」と同僚に尋ねてみるということがあります。問題やリスクを現実的なものとすることで適切な反応を引き出し、共に意義のある歩みを進めていくことが可能となります。 これにより、複数のリーダーがデータセキュリティに関して異なる意思決定権を持ち、その後のリスク管理を行うという状況が生み出されることにもなります。
CISOが共同のチームプランを策定し終えたら、誰もがそれぞれのチームのための適切な意思決定を行いやすくなります。また、意思決定者が誰であり、なぜそのような割り当てとなったかを理解し、組織全体がデータ保護に向けて最高の体制を取ることができます。
AIに備える
現時点で、AIが過剰に喧伝されている状態なのかを議論することはできます。しかし、AIは避けては通れないテクノロジーです。AIの活用から、攻撃側も防御側も同様に非常に大きな利益を得られます。
どの組織のCISOも、AIに関して組織内での適切なユースケース(特にサイバーセキュリティとデータセキュリティの機能)についての計画を策定する必要があります。特に生成AIは、現在、防御側が熱心に取り組んでいるタスクの自動化や効率化の多くの試みに適しています。 CISOは最適なユースケースを発見し、共有しなければなりません。失敗した取り組みについても同様です。 CISOのタスクには防御とともに、攻撃者がこれまで活動を制限されてきたインフラセキュリティ対策を破るために、同じテクノロジーを使用してどのような方法を取る可能性が最も高いかを予測するということも含まれます。さらに、攻撃が成功した場合に、盗み出したデータを理解し活用するために、AIがどのように使用され得るかについても詳細に検討しなければなりません。
ご承知のとおり、CISOの役割は進化を続けており、時に考えていたよりも早い速度で進化しています。しかし、この提言に沿うことによって、行く手に立ちはだかるリスクのいくつかをかいくぐることができます。さらに、自社のセキュリティ志向を高められるだけでなく、所有するデータ全般に関してより賢明な判断を行えるようになります。この道のりを共に歩み、得られた教訓を共有していくことを楽しみにしております。