CISO Voices: CISO との対話 — パート 4
先日、Jenny Radcliffe は、「Human Factor Security」ポッドキャストで Daniela Almeida と対話しました。Daniela Almeida は、コミュニケーションと文化の研究といった経歴があることから、「人」に関するさまざまな事柄を知っています。オランダのフィンテック企業、Tinka の情報セキュリティ最高責任者 (CISO) として自分が持つスキルを十分に活用しています。結局のところ、人的要因は、効果的なセキュリティ体制に不可欠です。
以下は、人を中心としたサイバーセキュリティ、コロナ禍による影響、CISO の考え方について、Daniela Almeida の意見をまとめたものです。
サイバーリスクをビジネスリスクとして伝える
サイバーリスクを、広範なビジネスコミュニティが理解できる言語に「翻訳」するのは、簡単ではありません。組織が成長する、新たな方向に向かう、または重大な決定を行う場合、関連するリスクや起こりうる結果を提示するのは私達の責任です。これにより、取締役会は情報に基づいた決定を行うことができます。
しかし、取締役会と効果的に協業するには、取締役会と「同じ言葉」で話す必要があります。脅しで言うことを聞かせようとしても無駄です。プレゼンテーションが「私達は皆だめになってしまう」といった主旨であれば、人は聞く耳を持たなくなります。そこで、リスクを、関連する結果に結びつける必要があります。
オンラインで製品を販売している会社なら、オンラインでの存在を危険にさらしうる脅威について、伝えましょう。会社がすでに直面している、または直面しうるリスクにフォーカスし、脅威プロファイルを構築する必要があります。常に取締役会と「同じ船」に乗っていてください。双方の視野が狭くならないよう、共に優先事項に合意する必要があります。
続くコロナ禍の影響
コロナ禍により、職場環境のリスクが自宅にももたらされたため、人々はサイバーセキュリティにより精通するようになっているようです。コロナ関連詐欺を含め、詐欺攻撃は、自宅などの安息の場所で遭うと、より危機感を生むものです。自衛本能が大きく働くからです。
しかし、人々が職場に回帰していく状況下では不確かです。「同じように注意する必要があるだろうか」といった疑問が生まれるかもしれません。そのうえ、コロナ禍を背景にサイバー犯罪者の創造性と洗練化のレベルが向上しましたので、非常に注意すべき状況となっています。(このような種類の振る舞いに関する詳しい統計情報については、プルーフポイントの 2022 Human Factor レポートをご覧ください。)
近年、スピア フィッシング攻撃の増加が見られています。攻撃者は、ソーシャルメディアやその他のソースを使用してコンバージョン率を高めています。サイバー犯罪者は人を標的にするための新しい、革新的な方法を継続的に模索しているため、状況はどのように変わっていくか気になります。
すべては人が鍵を握る
組織は人で構成されています。展開している構成またはセキュリティ メカニズムにかかわらず、その背景には人がいます。
この「人」の層は、しばしば最も脆弱な要素ととらえられていますが、最も強くなりうる部分であると私は考えます。どのような間違いがリスクになりうるか理解できれば、これに手を打つことができます。人々が攻撃者の攻撃方法を把握できれば、これに応じてサイバーに精通する方法をユーザーに教えることにより防御壁を構築することができます。
しかし、防御壁の構築には、従業員のセキュリティ意識向上に投資する必要があります。一般的な意識向上ではなく、特定の脅威、入力方法、仕事の役割などに特化したセキュリティ意識向上トレーニング プログラムが必要です。
また、知っていると勘違いすることは無知であることよりも危険であることを心に留めておくべきです。効果的な防御の構築に取り組む際、IT チームとサイバーセキュリティ チームは、最新の脅威と関連するリスクを理解していると過信しすぎないよう注意が必要です。
CISO 意識調査レポート
プルーフポイントは、世界各地の1,600人のCISOに聞き取り調査をおこない、サイバーセキュリティ リーダーが直面している課題を掘り下げ、結果を Voice of the CISOレポート にまとめました。本レポートでは、CISOが考えている重大なサイバー脅威や、機密情報の漏えいへの対処実績、サイバーセキュリティ インシデントの経営への影響、CISOの燃え尽き症候群などについてまとめています。