今日の世界では、コンプライアンスは不可欠です。信頼を維持し、企業の評判を向上させることが言うまでもなく必要不可欠なことであり、サイバーセキュリティ基準と密接に結び付いています。しかし、コンプライアンスは、おそらくすべての経験において、簡単に構築・維持できるものではありません。セキュリティリーダーとして、私たちは、拡大していく規制、法律、基準に準拠する方法を知る必要がありますが、そのほとんどが首尾一貫していないと感じています。この複雑さは、コンプライアンスを達成、維持、証明することを困難と感じさせるものでもあります。
Cloudflareでは、コンプライアンス要件の理解、適切なセキュリティプロセスとコントロールの実施、環境の変化の監視、そしてコンプライアンスを実証する評価の実施に多大なリソースを投入しています。私のキャリアの初期において、このような取り組みを、負担すべき税金のようなものと見なしていました。しかし、20年のサイバーセキュリティ業界での取り組みを通じて、私はようやく心配することをやめ、コンプライアンスを愛するようになりました。これは、コミュニティとして成し遂げられることであり、何かを奪い去るものではないのです。
画像出典
:Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb
サイバーセキュリティの脅威の大きさを長年把握してこなかったことが、根本的に安全でない技術への依存を常態にする世界をもたらしました。あまりにも長い間、スピードとコストが、セキュリティ とプライバシーの価値を上回っていました。これは、ポリシーの失敗、マネジメントの失敗、能力の不足、そして何よりも想像力の不足を意味します。
国防総省と国家安全保障局の中で、私たちは多くの「任務」に焦点を当てました。それは、多くの場合、重大な問題を解決するための成果に基づくアプローチです。これは、多くの攻撃を前にして、コンプライアンスを無視するという誤った認識を生じさせます。私の経験上、これは事実ではありません。成果とコンプライアンスは、常に相互に関連するものであり、より良い考え方とより多くの創造性だけでなく、運用リスクの軽減にもつながるものでした。
Cloudflareをはじめとするサイバーセキュリティリーダーは、セキュリティを強化し、信頼を構築し、新たな関係を築くための基本的な出発点として、ポリシーと戦略を整合させる責任を負います。このアプローチをとれば、ユーザーデータの保護、知的財産の保護、金銭的窃盗の回避、そして場合によっては物理的損害の回避といった問題にミッション指向のソリューションを適用することができます。
信頼を築くのは難しく、失うのはたやすいものです。規制を遵守しないと、罰金を科されるだけでなく、お客様やパートナーの信頼や信用を失うことにもなりかねません。
私た ちは皆、コンプライアンス要件が運用リスクの低減ではなく、しばしば官僚主義的確認を生み出すことを知っています。この理由により、医療、金融サービス、国家安全保障など、非常に厳しい規制を持つ、ターゲットが絞られた分野におけるサイバーセキュリティの実践は、私たち全員にとっての強固なブループリントであると考えています。これらの分野では、官僚主義的な確認だけでなく、規制値よりも高い基準を自主的に設けています。
私たちのセキュリティの取り組みは、基準を満たした時点から始まります。コンプライアンスは、ツールとして、私たちの仕事を表現し、誰が信用できるかを確認し、脅威を排除する努力に取り組むことを可能にします。ですが、SOC報告書やISO認証取得が侵害を止めるだろうとしばしば耳にしますが、依然として侵害は起こっています。なぜでしょうか?その答えは、フレームワークや基準への準拠は、何か問題が生じた時に、早めにそのことを認識するための手段にすぎないということです。企業やチームがインシデントや攻撃を防ぐための方法にはなりません。それらを防ぐためには、技術的なコントロールに基づいた、より包括的なサイバーセキュリティへのアプローチが必要です。
Cloudflareでは、重要な規制・基準を遵守し、多くの重要な認証を取得しています。私たちはコンプライアンスを、それが生み出す機会のために積極的に受け入れています。しかし、私たちはここで止まりません。私たちは、より良く、より安全なインターネットを構築するという 自社の使命に重点を置き続けています。ビジネス、当社パートナー、そしてお客様の安全を守る高度なセキュリティ機能を実装することで、コンプライアンスの先に進むのです。Cloudflareは、お客様とその顧客の皆さまに、より安全なインターネット環境をご提供するために構築されました。安全を確保するために役立つ認定について詳しくご覧ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Oren Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare
この記事を読めば、以下が理解できます。
コンプライアンスを成功要因と見なし、負担と見なさない方法
フレームワークと基準は、インシデントや脅威にさらされるリスクを絶対的に排除するものではない
基本的なコンプライアンスを超えた高度なセキュリティの実装により、ビジネス、パートナー、顧客の安全を確保できる
利用開始
リソース
ソリューション
コミュニティ
サポート