インターネットに責任追跡性をもたらす
リーダーとして、私たちは説明責任を果たさなければなりません。
説明責任を果たす選択をすることが、今日の世界のリーダーを際立たせるものとなっています。説明責任は果敢さを必要とし—イノベーションを促進することができます。説明責任は、一見手に負えないように見える問題を解決するために必要な変化の「触媒」として機能する可能性があります。
業界のリーダーとして、私たちは、自社の専有情報や機密情報、従業員のデジタルおよび物理的なウェルビーイング、取引先の評判を保護する責任があります。私たちは、お客様やステークホルダーとの信頼関係を築く責任があります。私たちは、成果を上げる責任があります。私たちは、財務上の制約の中で仕事をする責任があります。私たちは、インシデントが起こった際の責任を負います。
このような驚くべき技術的進歩のこの瞬間、サイバーセキュリティに対し責任を持つことは、インシデントによる潜在的な被害を抑えることにコミットすることを意味します。これは、また、コミュニケーシ��ョンと共感に重点を置き、サイバー犯罪者であることの経済状態を変える取り組みを意味します—サイバー犯罪者は捕まる可能性が低いため、依然として良いビジネスなのです。
残念なことに、これまでのサイバーセキュリティの破滅の物語は、私たちの心の中に深く刻み込まれています。その結果、多くのリーダーが行動する勇気を失っています。セキュリティソリューションに世界中で数十億ドルが費やされているにもかかわらず、私たちは依然として不安定な立場にいます。ハッカーたちが三目並べをしたり、Webサイトを改ざんしたり、パスワードやクレジットカード番号を盗んだりすることをほとんど乗り越えてきました。サイバー攻撃は今や、異常気象事象、核戦争の可能性、人工知能が人間を凌ぎ、それと並んで私たちの時代の大きな課題となっています。
それでも、適切な考えとソリューションを持つことでサイバーセキュリティの脅威にうまく対処することができます。
私の個人的な経験に基づいて、お客様の考えを変え、被害を軽減するために責任を果たす方法について、いくつか提言させていただきます。
通念を否定する:被害を防ぐためには、攻撃に関する通念のいくつかを否定しなければなりません。特に、破滅的な結果は時間の問題であるという考えは否定すべきです。また、攻撃者には究極的に長期的な有意性があるという考えも捨てるべき��です。そして、被害総額は影響の深刻さに等しいという考えは捨てるべきです—10万ドルに相当する複数の自治体への攻撃は、大企業への1億ドル相当の攻撃よりも大きな組織的影響を与える可能性があります。私たちは系統的かつ科学的である必要があり、結果の因果関係を誤って解釈することによって誤った主張や結論が形成されるような、継続的な科学の積荷崇拝を避けなければなりません。
役立つものに投資する:同時に、セキュリティソリューションの市場で経済力を活用する必要があります。駐車場外で運転できない車や、手に入らない食事にお金を払うことはしないでしょう—機能しないサイバーセキュリティにお金を払う必要はありません。最高の製品を作る企業が成功するためには、サイバーセキュリティにおける市場の均衡を回復する必要があるのです。
ベンダーからのパフォーマンス指標を要求する:セキュリティソリューションが機能するかどうかをどのように知ることができるでしょうか?定量化可能な証拠が必要です。投資を行う前に、ベンダーからのパフォーマンス指標を確認するように要求しましょう。投資後は、指標を定期的にチェックして、ソリューションがベンダーの約束を果たし続けることを確認しましょう。
症状ではなく、根本原因に焦点を当てる:今日、セキュリティチームが直面している唯一かつ最大の課題は何でしょうか?多くのチームは、重点分野に合意できません。このような社内の合意がなければ、どのようなセキュリティソリューションを購入するかにかかわらず、サイバー脅威に有意に対抗したり防いだりすることは難しいでしょう。あまりにも多くのセキュリティチームが断片的なアプローチを取っています。代わりに、症状ではなく、攻撃の根本原因に焦点を当てた、協調的で包括的な戦略が必要です。例えば、マルウェアの添付ファイルに対する懸念は、配信メカニズム、メールのフィッシングを排除することで対処するのが最善です。
説明責任を果たす
今日のサイバーセキュリティにはパラダイムシフトが必要です。チームは、セキュリティに対する包括的で価値に基づくアプローチを導入する必要があります。そして、パートナーやベンダーに責任を課す必要があります。サイバーセキュリティソリューションの有効性についてますます悲観的になること自体は、解決策になり得ないからです。
Cloudflareのトラストハブにアクセスし、当社のお客様への説明責任を果たし—最終的にお客様の組織の説明責任を強化することにつながるポリシー、テクノロジー、認証について学びましょう。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレン�ドとトピックについてお伝えするシリーズの一環です。
著者
Oren Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare
記事の要点
この記事を読めば、以下が理解できます。
セキュリティ脅威に関する意識を改革し、被害を軽減するために説明責任を強化する方法
セキュリティソリューションに価値に基づくアプローチを採用すべき理由