能動的なサイバーセキュリティ文化を醸成するためのCISO向けガイド
アメリカ人の約半数と同じように、私も高校や大学で競技スポーツをしていました。バスケットボール、ソフトボール、サッカー、ゴルフなど、思いつく限りのスポーツに挑戦しました。プロを目指したことはありませんが、試合が好きで、最終的にデジタルスポーツ会社であるFanticsに入社しました。
Fanaticsは現在、急速な成長と拡大の真っ只中にあります。当社は認可されたス�ポーツファン向け製品の販売で知られていますが、私たちの使命はもっと広範囲であり、世界をリードするデジタルスポーツプラットフォームになることです。例えば、トレーディングカードや記念グッズのマーケットプレイスの提供や、最大級の対面型ファンイベントのネットワークを構築しています。また、オンラインでのスポーツ賭博やリアルマネー賭博(私は情報セキュリティプログラムを監督)も拡大させています。
継続的なイノベーションには、新たな脅威への備えが必要です。サイバー犯罪者はスポーツファンを標的にするケースが増えており、スポーツ関連団体の70%が毎年少なくとも1回は攻撃を受けています。
しかし、技術だけではビジネスを守ることはできません。製造からアプリ開発に至るまで、すべての部署が適切なサイバーセキュリティ対策を実践し、組織全体の安全性を守る必要があります。
言い換えれば、強固なサイバーセキュリティは「チームスポーツ」であると言えます。組織全体の賛同を得るために私が取り組んでいる3つの重要な方法をご紹介します。
「イエス」の精神で始める
野球の名監督トミー・ラソーダは「野球でもビジネスでも、世の中には三種類の人間がいる。事を起こす人、それを見ている人、そして何が起こったのか分からない人だ。」と言う名言を残しています。私は、リーダーとして、組織の成功とセキュリティを実現するためにここにいます。
私は、Fanaticsが積極的にビジネスを拡大している中、脅威に受け身で対応するだけではいけないと考えています。
会社の成功に主体的に貢献するためには、「イエス」の精神を持つことが重要です。セキュリティ担当者はしばしば、秘密主義で詳しい説明もなく「ノー」と言う、何かを進める際の障壁とみなされがちです。特に複数のプロジェクトを同時に抱えているような時は、相談者に対して「既存のものを使ってください。忙しくて対応できません」と断るだけの存在となってしまいます。残念ながら、「ノー」とだけ回答することは、多くの組織でシャドーIT、シャドーAPI、シャドーAIが横行する大きな理由となっています。またこれは、他部署がセキュリティチームとの積極的な協力を避ける理由にもなります。
一方、「イエス」の精神を持つことで、サイバーセキュリティは単なる金食い虫ではなく、ビジネス成長の原動力として認識されるようになります。
私のチームがこの精神を実践している方法をいくつかご紹介します:
1) ポジティブな意図があることを前提に考える。誰かが新しいことに挑戦しようとする場合、その意図は前向きなものであると考え、相手の立場に寄り添うことが重要です。例えば、アプリ開発チームが納期やリソースの不足を理由に、セキュリティの脆弱性の修正を繰り返し先延ばしにしているとします。
ポジティブな意図を前提とせずに捉えた場合、情報セキュリティチームは、開発者はセキュリティに無関心で、問題が発生した場合、協力的に解決しようとせず、すぐに経営陣にエスカレーションすることを選択すると考えることができます。
ポジティブな意図を前提として捉えた場合、情報セキュリティチームは、開発者は真にビジネスニーズを優先しており、セキュリティと納期のバランスをとりたいと捉えることができます。そのため、私たちは開発チームに「期限の遵守が極めて重要であることは承知しています。納期に影響を与えない方法でセキュリティの脆弱性に一緒に対処しましょう。」といった、相手に寄り添った会話を持ちかけるようにしています�。
後者のアプローチは、協力関係と信頼を育み、セキュリティとビジネスの両方の目標を満たす解決策につながります。
結局のところ、大切なのは人を理解することです。「現状の技術で何ができて、何ができないのか?」「サイバーセキュリティで仕事を加速することはできないか?」「リスクばかりを指摘するのではなく、真に楽しめるスポーツファンイベントを安全に開催するために、積極的に協力できるか?」そうした視点で向き合う姿勢が求められます。
2) フィードバックや批判を歓迎する。シモーネ・バイルズ選手(五輪体操選手)が「コーチの存在が自分の成長の鍵」と考えているように、私たちもフィードバックから学ぶべきです。他者からの苦情にも率直に耳を傾けることが大切です。サイバーセキュリティイニシアチブをより多くの人に認めてもらいたいのであれば、相手の意見も同様に尊重するよう努めましょう。そうすることで、他部門の専門知識を学べるだけでなく、自分自身の理解も深めることができます。
3) ビジネスの戦略をより深く理解するよう努める。組織全体にセキュリティの重要性を伝えたいのであれば、会社の財務的優先事項をどれだけ真剣に捉えているかを�示す必要があります。そのために、私は常に製品、営業、エンジニアリング、開発など、各部門の最新動向に注意を払っています。例えばFanaticsがPointsBetの米国事業を買収してスポーツベッティングサービスを開始する計画を立て始めたとき、私はすぐにビジネスおよびコンプライアンス面の影響を把握し、自分のチームの優先事項を調整しました。
透明性を通して信頼を高める
サイバーセキュリティ実践の重要性を浸透させるためには、サイバー攻撃の脆弱性と強みについて透明性をもって伝えることが重要です。設計や実装を非公開にする・隠すことによって脆弱性やセキュリティメカニズムの詳細を隠す「隠ぺいによるセキュリティ(STO)」の概念は、古くから存在します。しかし、特に社内コミュニケーションにおいて、多くのセキュリティリーダーがこれを過度に重視しすぎていると私は感じています。
例えば、DDoS攻撃の脅威は常に存在しますが、大規模なプロモーションやスポーツイベントの時期に特に集中することがあります。他のチームがHTTP POSTフラッド攻撃とHTTP GETフラッド攻撃の違いを理解している必要は��ありませんが、私は「攻撃は一年の特定の時期に発生する傾向があるか?」「攻撃の発信源はどこか?」「攻撃は競合他社からのものか、犯罪者からのものか?」「どのサービスが標的になっているか?」「何件の攻撃が阻止できたか?」など、主要な動向についてチームを教育することが重要だと感じています。
データを用いて透明性をもって説明することで、サイバーセキュリティ投資(Cloudflareの高度なDDoS攻撃対策、ボット管理、負荷分散、その他のアプリケーションサービスなど)に対する部門間の理解を得ることができます。また、定期的に数値データを用いて情報を共有することも、セキュリティが企業の成長を支えていることを示す重要な活動です。
職場では通常、皆自分の仕事に直接関連することにしか関心を示しません。例えば、サイバーマンデーのプロモーション担当チームであれば、セキュリティベンダーには関心を示しませんが、Webサイトのパフォーマンスと売上には強い関心を持っています。私の役割(デジタルの足回りを保護すること)と彼らの役割(オンライン顧客に到達する)のつながりを理解してもらえれば、安全な慣行を積極的に受け入れてもらいやすくなります。
包括性を重視し、自分らしさを大切にする
世界的なサイバーセキュリティの人材不足は深刻で、Gartnerは2025年までに「重大なサイバーインシデントの半分以上が人材不足または人的ミスが原因になるだろう」と予測しています。
人材不足の理由は多数ありますが、より多くの人材を惹きつけるためには、従来とは異なる多様な人材を積極的に受け入れる必要があります。実際、ISC2が発表した「2024年サイバーセキュリティ人材調査」の一説でも、「人材不足の拡大に伴い、サイバーセキュリティチームはあらゆる経歴の人材を活用すべきだ」と語られています。
私自身、採用担当者には多様性のある候補者層をしっかりと確保するよう強く伝えています。学歴ではなく、スキルに基づいて全ての人が公平に評価されるべきです。例えば、私はさまざまな大学でのキャンパス採用を重視しています。
また、可能であればいつでも、外部での採用イベントにも参加し、新入社員にメンタリングを行ったり、他の女性がスポーツ技術分野のキャリアを検討するよう奨励しています。例えば、Grace Hopper Celebrationへの参加は、多様な才能に触れることができ、大変刺激を受けた機会でした。技術以外の分野からテクノロジー業界に転職した参加者から数多くの体験談を聞くことができましたが、共通していたのは、AIの可能性を見出し、テクノロジーを探求するように促し、サポートを提供する「支援者」の存在でした。彼らの可能性を見出し、テクノロジーへの挑戦を後押しし、サポートしてくれた人がいたからこそ、異業種からの転身が成功したと言うことができます。また、情熱と努力があれば、どの年齢でも成功できることを示しています。
採用活動だけでなく、入社後の定着にも力を入れる必要があります。いくつかの調査で、自分らしく働ける環境と真のリーダーシップが仕事への満足度の向上と離職率の低下につながることがわかっています。しかし、残念ながら、サイバーセキュリティ業界の女性の3分の1以上(36%)が「自分らしく働けていない」と感じています。
私は、他の人が自分らしさを大切にできるよう、次のことを心がけています:
自分の個性を偽りなく率直に表現すること
常に好奇心を持ち、多くの質問を投げかけること
自分たちの強みと弱みを振り返る場を用意する
遠慮のないフィードバックを求めること
他の人の成果を継続的に称賛すること
誰もが職場で自分らしくいられるべきです。だからこそ、私は毎日、正直でありのままの自分を職場に持ち込むことを大切にしています。
能動的なサイバーセキュリティは、経営層から始まります
私は常に自分らしさを大切にし、「イエス」の精神と透明性を保つことで、FanaticsのCFOやCTOをはじめとする経営陣と強固な関係を築いてきました。当社の組織には、セキュリティの価値を理解するリーダーが数多く存在します。
このトップダウン的なサイバーセキュリティ文化は、これまで以上に重要です。たとえば、すべての業界がAI主導のカスタマーエクスペリエンスとAI生成による脅威に直面しているこの時代において、「適切」な対応を実施するためには、ポリシーとテクノロジーの緊密な連携が不可欠です。
最終的に、内部連携がスムーズになり、組織が安全に運営されれば、誰もが本来の業務に集中できるようになります。それは誰もが望む姿ではないでしょうか?
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
業界最大のサイバーセキュリティリスクの管理方法については、「オンラインゲーミングおよびGaming企業向けサイバーセキュリティのベストプラクティス」をご覧ください。
著者
Ami Dave氏
Fanatics社CISO(最高情報セキュリティ責任者)
記事の要点
この記事では、以下のことがわかるようになります。
デジタルスポーツアプリとオンラインギャンブルにおけるサイバーセキュリティ攻撃の傾向
能動的なサイバーセキュリティの文化を醸成するための3つの推奨事項
セキュリティ機能をビジネスの促進要因として位置づける