Preview Mode
Documentation

リーダーシップの視点:複雑時代におけるセキュリティの簡素化

技術リーダーたちが、AIの未来やセキュリティ投資の重要性、人為的ミスへの対策について語ります。

theNet by CLOUDFLARE

サイバーセキュリティの第一線の防衛線

企業の安全確保に重要な要素となる、「人」

サイバーセキュリティの脅威が増え続ける中、「ヒューマンエラー」に関連する攻撃も増え続けています。健全なセキュリティ戦略の人材、プロセス、テクノロジーの基盤において、「人」が最初に来るのには理由があります。従業員がサイバーセキュリティとそのために果たす役割を理解すれば、組織を保護し、リスクを軽減するための最初の防衛線となります。


セキュリティ第一の文化はトップから始まる

文化は、単なる標語ではありません。チームの取り組み方や評価される行動に現れるものです。

セキュリティ文化は、企業のトップとリーダーシップから始まります。それは、「優先順位付け」、「コミュニケーション」、「事例を紹介する」の3つの面で現れます。

能動的な防御戦略を醸成する文化があれば、従業員はリスクを発見し報告できます。シンプルで効果的な通報メカニズムを用いて、不審なものすべてを報告し、セキュリティインシデント対応チーム(SIRT)へ調査を依頼しています。弊社では、毎月最も多くのセキュリティインシデントレポートを提出する人々を奨励し、擁護しています。弊社では、保護と安全確保という使命を共有するコミュニティを形成する目的で、インシデントを共有しています。弊社の最上位のリーダーシップは、不審なものはすべて報告することにより、模範を示します。

弊社のコミュニケーションとセキュリティの優先順位付けの方法における透明性は、Cloudflareのリーダーシップに明確に表れています。フィッシングリンクをクリックしてしまったり、ノートパソコンが保護されない状態になったりしていることがあるかもしれません。弊社のチームは、間違いを犯しても罰則が課されることはないため、自主的な報告が奨励されています。この結果、ミスを軽減するために正しいことを行う文化が醸成されます。



認識の文化の醸成

Cloudflareのようなセキュリティ企業であっても、誰もがサイバーセキュリティの専門家であるわけではありません。最強のサイバー攻撃のバックグラウンドを持つ企業でさえ、進化する攻撃ベクトルに追いつくのは難しいでしょう。

弊社の仕事がサイバーセキュリティ攻撃をどのように阻止しているかに関する体験を共有することで、チームは意識を保ち、警戒の必要がありません。このような洞察を共有することは、勝利を祝うだけでなく、それぞれのインシデントから学ぶことを意味し、日々の戦いが防御を強化する教訓に変わります。この実践により、継続的な学習と備えの文化が醸成され、新入社員から熟練の専門家まですべてのチームメンバーが脅威の動的性質を確実に理解できます。

最近、個人のソーシャルメディアアカウントを介して従業員が標的になるインシデントが発生しました。当事者はリスクを理解し、SIRTチームへの報告の重要性を理解していました。従業員の迅速な対応のおかげで、インシデントをチームと共有し、ソーシャルメディアプロバイダーと提携することで、攻撃者の認識をさらに高め、調査の上シャットダウンできました。



全員に役割があることを理解する

セキュリティに対する強い文化を醸成し、意識を高めることから始めるとよいでしょう。組織のすべてのメンバーが強力なセキュリティ体制を維持するための各自の役割を理解することも同様に重要です。

まず、明確で理解可能なサイバーセキュリティポリシーを確立することから始めまてください。これらのガイドラインが単なる理論ではないことを認識するための「方法」と「理由」を説明し、実行可能にする必要があるのです。これらのポリシーをアクセス可能にし、新たな脅威やテクノロジーの変化に応じて毎年更新することで、全員の遵守義務が強化されることになるのです。

ポリシー違反の報告、フィッシングソーシャルエンジニアリングの試みの認識、オフィス内での共謀などの物理的なセキュリティ侵害への対処、システムの設定ミスの発見など、即効性のある行動について知識を与え、組織を強化します。

サイバーセキュリティとプライバシー意識向上に関する年次訓練が強固な基盤を築く一方で、役割に特化したセキュリティ訓練を統合することでそれを超えることを目指します。このアプローチでは、組織のプロセスのあらゆる面にセキュリティ対策を組み込み、セキュリティをポリシーとしてだけでなく、企業の日常業務に組み込むことです。



ヒューマンエラーのリスクの低減

組織のセキュリティチームに大きな負担がかかるのは、複雑さです。

システムが複雑になるほど、エラーが発生する可能性が高くなります。設定ミスは、攻撃者が悪用する可能性のある大きなリスクとなります。「基本的には信頼するものの、しっかりと検証しよう」とは、昔ながら言い続けられる価値のある格言と言えます。ヒューマンエラーが脆弱性を生じさせないように、設定と制御の実装の有効性をチームで検証することが不可欠なのです。

クリック操作を減らし、コードとしてのインフラストラクチャ(IaC)を優先する戦略を採用することで、ヒューマンエラーのリスクを減らすだけでなく、チームが最も重要な作業に集中できるように拡張することもできます。この戦略をCloudflareで活用し、複雑さと人的ミスのリスクを低減しながら、貴社システムを維持する方法を継続的に改善するために、Cloudflareを使用する方法をご紹介しました。



セキュリティ文化は防衛の一部

サイバーセキュリティに対する意識の強化は、単なる予防措置ではなく、不可欠なものです。すべてのチームメンバーが意識してサイバーセキュリティの実践に積極的に取り組む文化を醸成することで、デジタル脅威に対する障壁だけでなく、ファイアウォールも構築できます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。



このトピックを深く掘りさげてみましょう。

最新の脅威を認識した強力なセキュリティ文化の醸成へのアプリケーションセキュリティの現状レポートをぜひお読みください。

レポートを入手する

著者

Ranee Bray — @raneebray、Cloudflare シニアサイバーセキュリティ戦略実行ディレクター

Jordan Lilly — @jordan-lilly、Cloudflare CSOセキュリティエンゲージメント、オフィス・オブ・CSO



記事の要点

この記事では、以下のことがわかるようになります。

  • マインドセットと行動の変革においてリーダーシップが果たすべき役割

  • 組織内でセキュリティ意識を高める方法

  • セキュリティプログラムの複雑さを軽減することのメリット


関連リソース


大人気のインターネット関連インサイトの要約を毎月お届けします。