原文のブログはこちらからご覧いただけます。
今日の CISO は、ビジネスのセキュリティを確保することとビジネスの遂行を可能にすることの間で微妙なバランスを取る必要があることを認識しています。変化し続けるビジネス目標とサイバー脅威の中でこのバランスを保つには、集中力と持続性が必要です。
最近私は、BlackBerry のシニアバイスプレジデント兼最高情報セキュリティ責任者(CISO)の Arvind Raman と、彼をはじめCISOが直面している主な課題について話をする機会がありました。組織のセキュリティ部門を率いている方は、彼が挙げる課題リストに同意できるでしょうか。ぜひ以下で確認してみてください。
Raman は、通信業界でグローバル CISO を務めた後、2023 年に BlackBerry に入社しました。それ以前には、金融および小売業界でセキュリティ関連部門を率いていました。Ramanは何人ものCISOが絶え間ないプレッシャーのために眠れぬ夜を過ごしていることを知っています。組織がデジタルトランスフォーメーションと成長を実現するため、新しいイノベーションとテクノロジーを常に取り入れていくプレッシャーに加え、新しい潜在的な脅威を評価し組織を保護する取り組みを継続していくプレッシャーです。
以下は、Ramanが考えるセキュリティリーダーが現在直面する5 つの主な課題です。
Raman は次のように述べています。「皆が多くのサードパーティ、フォースパーティ、フィフスパーティを活用していますが、このリスクはサードパーティリスクと総称・分類されます。活用している他の組織を理解し、それらのサードパーティに関連するリスクを理解することが、データ侵害を防止し、ニュースで報道されるような事態を防ぐための鍵となります」
Raman は次のように説明しています。「ランサムウェアは、もはや単にシステムを暗号化し、その機能を損なうものではありません。より重大なのはデータの抜き出しです。組織から重要なデータを抜き出し、その公開を恐喝の手段に利用します。組織は、ランサムウェア関連のリスクが現実となった場合に、それに対処するための準備を整えておく必要があります」
3項目めはビジネス中断リスクです。「サービスまたは製品をホスティングしている場合、それらのサービスまたは製品に対する DDoS (分散型サービス妨害)攻撃の可能性は大きなリスクです。組織は、DDoS 攻撃の可能性などから資産とサービスを保護するための適切なアプローチを取る必要があります」
企業の大多数は製品やサービスを提供しており、Raman はこの点に関して考慮すべき別のリスクがあると言います。「脆弱性、すなわち自社が提供している製品やサービスに関連する脆弱性が、悪用される可能性です。サイバー攻撃でそうした脆弱性を突かれる可能性があります。この点を認識し、製品やサービスの脆弱性リスクをどの程度上手く管理できるかを把握しておく必要があります」
規制の変化に対応し続け、組織のコンプライアンスを維持することの重要性も Raman は強調しています。「規制は変化し続けています。昨年と今年を比較して、何が起こったかを理解することは簡単ではありません。規制と法律の観点からこの点を把握し、異なる課題がどのようなものであり、それらを適切に管理していくための最善の方法は何かを理解することが重要です」
CISO が直面するこれらの主要な課題に加え、サイバーセキュリティのリーダーとそのチームに迫り来る、不吉な前兆があると Raman は言います。それは、一つの組織に対し複数のリスクが同時に発生する「最悪の状況」のシナリオに直面する脅威です。
このシナリオについては、BlackBerry のシニアバイスプレジデント兼 CISO の Arvind Raman のインタビューをご覧ください。また、彼が説明する「現在の CISO に必要なスキル」にご自身が当てはまるかどうかもぜひチェックしてみてください。
.png)
