コンテンツにスキップ

イラスト by iStock;セキュリティ管理

カジノサイト

CISO が人材不足を埋めるための 4 つの賢いサイバーセキュリティ投資

コリー ダニエルズ著
2022 年 7 月 26 日

オンライン限定品

2022 年は、あらゆる規模、あらゆる業界の組織にとってサイバーセキュリティの課題に満ちています。財務上の利益、競争力のある地位、デジタルの導入により、組織の攻撃対象領域は歴史的なペースで進化し続けています。

サイバー攻撃の脅威は増大し続けており、特にサービスとしてのランサムウェア犯罪組織の増加と世界中での地政学的な緊張の高まりによって顕著になっています。この活動はすべて、クラウドやリモートワークへの大規模な移行により、組織が直面するリスクの増大を踏まえて行われています。私たちは、これらのリスクが、大規模な問題などの新たな取締役会レベルの懸念の形で現実化するのを目にしてきました。Log4j の脆弱性多くの組織のセキュリティに影響を与え続けています。

組織は、いくつかの馴染みのある課題にも対処しながら、これらの新たな課題にも対処しなければなりません。 2021 年の調査によると、米国では約 402,000 人のサイバーセキュリティ専門家の人材が不足しています。作成者 (ISC)2。 2022 年まで続く中、組織がサイバー プログラムのパフォーマンスの不安定性を軽減し、予測可能性を高めるためには、サイバーセキュリティの人材不足に対処することが引き続き最優先事項となります。

専門家グループ、業界リーダー、教育部門、さらにははすべて、啓発キャンペーン、採用戦略、求人マッチングの取り組みなどを通じて、不足に対処するための措置を講じています。しかし、次世代のサイバーセキュリティ専門家の育成には時間がかかります。残念ながら、世界が回り続ける中、時間は不足している資源です。取締役会や投資家は、従業員の減少や有能な人材を惹きつけることができないことを、サイバー レジリエンスの実現に失敗する許容できる正当な理由とは考えていません。

バンク・オブ・アメリカのような巨大企業には支出する余裕があるサイバーセキュリティについては、優秀な人材を採用し、最先端のテクノロジーに投資する必要がありますが、ほとんどの組織にはそのレベルの予算がありません。

スタッフだけで回復力を維持するのは持続不可能になりました。

それでも、私たちは依然としてミッションクリティカルなサイバーセキュリティの脆弱性に対処し、脅威を阻止しなければなりません。また、組織内で多数のオープンで重要なサイバー上の役割を管理しながら、それを行う必要があります。

私は多くの時間を、これらの課題と、私の組織が雇用市場全体のスキルと可用性に関するマクロな課題にどのように効果的に対処できるかを考えることに多くの時間を費やしています。

人材、テクノロジー、サービスへの投資を最大限に活用し、サイバーセキュリティの人材不足に最も効果的に対処するための 4 つの方法を紹介します。

自動化と提携により俊敏性とスケールを実現します。

当社のユニークな人材を育成し、安定した予測可能な運用に必要なツールを彼らに提供することが重要です。セキュリティ チームのサポート、プロセスの合理化、効率の向上に役立つ人工知能 (AI) および機械学習テクノロジーに投資することも重要です。それらに投資することは重要ですが、「良いものとはどのようなものなのか」という感覚を必ず持ってください。これらのツールを最も効果的に導入する方法を理解することで、従業員のフラストレーションや予測不可能なコストを生み出すツールを最小限に抑えることができます。

たとえば、セキュリティ オーケストレーション、自動化、レスポンスなどのツール検出と対応のプレイブックとプロセス ワークフローを自動化できます。 SOAR は、優れたビジネス プロセス管理 (BPM) を実現する、ビジネスや既製のプロセスに合わせたプレイブックを提供することはできません。代わりに、事前にユースケースを定義し、プロセスの成熟度を評価し、導入後にこれらのツールを保守する担当者を特定して、ツールの価値を維持し続けるようにしてください。

複雑なテクノロジー プラットフォームを継続的に導入、最適化、管理するためのサイバーセキュリティの専門知識が社内にないとします。その場合は、サードパーティ ベンダーの協力を得ることを検討してください。次に疑問は次のとおりです。スタッフの増強が必要ですか、それとも成熟したマネージド セキュリティ サービス プロバイダー (MSSP) を利用する価値はありますか?その答えはビジネス ニーズによって異なる可能性がありますが、1 つのプロセスでは人員配置の問題をパートナーに移し、もう 1 つのプロセスでは成熟した MSSP の経済的強みとインテリジェンスを活用します。

サイバー人材に投資して能力を高めましょう。

それはです競争市場。社内の知識、文化、情熱は、セキュリティ チーム独自のスーパーパワーです。セキュリティ組織は予算が限られていることが多く、財務リスク分析の一環として人材を雇用するコストが考慮されていない可能性があります。自動化は、プログラムのタイムシンクを軽減することでキャパシティを提供するのに役立ちますが、自動化は、組織のサイバー回復力を計画、構築、浸透させる主要な影響力を持つ人に取って代わるものではありません。進化し続けるサイバーセキュリティの脅威環境と増大する攻撃対象領域において、脅威の先を行く鍵となるのは人材です。しかし、スタッフだけでレジリエンスを維持することは持続不可能になってきています。私たちのほとんどは、サイバーセキュリティ アナリストを大量に雇用する余裕がありません。また、サイバーセキュリティの労働力不足により、雇用することもできません。

多数のアナリストを雇用することが難しい場合、どうすればよいでしょうか?投資し、知識とスキルを育成し、既存のサイバーセキュリティ スタッフの情熱を刺激することを目指します。強力なトレーニング プログラムを作成して、個人が新しいスキルを習得し、年間を通して既存の能力を鋭く維持できるようにします。を構築する支持的な文化高性能のサイバー防御プログラムを確保し、従業員の燃え尽き症候群を防ぎながら、個々のチーム メンバーの継続的な成長を確保します。メンターシップとキャリア パス プログラムを確立して、既存のチーム メンバーの成長をサポートし、年次業績評価時だけでなく、年間を通じてフィードバックを提供します。

強力なチーム文化を築くことで、セキュリティ専門家が仕事で成果を上げ、エンゲージメントを維持するために必要なリソースとサポートを得ることができ、これにより離職率が減り、組織の防御が強化されます。

セキュリティ以外のスタッフに投資してください。セキュリティはチームスポーツです。

データ侵害の 82% が Verizon で調査されている人間の要素が関与していた。現在、恒久的にリモートまたはハイブリッドな勤務環境で運用している組織が増えています。また、クラウド コンピューティングの使用により、脅威の状況は拡大しました。すべての従業員に強力なサイバーセキュリティに必要な知識とトレーニングを提供することがこれまで以上に重要です。

従業員は、オフィス勤務とリモート勤務の間を行ったり来たりするため、自然と注意力が散漫になります。また、安全でないホーム ネットワークや侵害された個人用デバイスから作業している可能性もあります。これらすべてにより、ソーシャル エンジニアリングやフィッシング攻撃に対してさらに脆弱になります。したがって、サイバーセキュリティのベスト プラクティスと脅威の発見方法について、全従業員に対して厳格かつ継続的なトレーニングを確実に実施することが重要です。

経営幹部向けのサイバーセキュリティ トレーニングへの投資も同様に重要です。これらのリーダーはスピア フィッシング攻撃の標的になる可能性があるためです。定期的なトレーニングは、サイバーセキュリティの重要性をより深く理解するのに役立ち、将来的にはセキュリティ プログラムにより多くの予算を割り当てるようになる可能性があります。

事後対応ではなく、事前対応型のセキュリティを強化します。

組織が犯す最も一般的な間違いの 1 つは、サイバーセキュリティ防御に関して停滞したままになり、単に現状を維持することです。計画、構築、テスト、実行というと、一連のアクティビティのリストのように聞こえますが、これら 4 つのトラックが連続的かつ並行して動作していることに注目してください。米国国立標準技術研究所, およびインターネット セキュリティ センターのトップすべてロードマップを作成するための優れたフレームワークを提供します。

次のステップは、運用モデルの結果について考えることです。組織がサイバー防御プログラムを事後対応型からプロアクティブ型にどのように移行できるかを考えてください。組織は予測分析を検討する必要があります。後向きの傾向に対応するだけでなく、サイバー回復力分析を積極的に検討して、将来のビジネス上の意思決定のモデル化を開始する必要があります。

この移行を行う際に避けられないハードルが 1 つあります。それは脅威インテリジェンス プログラムの成熟度です。脅威インテリジェンスのフィードから、プログラムの継続的な状況認識に必要な脅威インテリジェンスの出力と、それを達成可能にするために必要な人材、プロセス、テクノロジーに考え方を変えるには、時間とリソースがかかります。侵入テスト、レッド/パープル チーミング、脅威ハンティング、欺瞞、および詐欺行為、ネットワーク操作、人事などのビジネス操作からの事後対応インテリジェンスを利用します。脅威インテリジェンス プログラムの価値を活用しながら、プログラムの継続的な計画、構築、テスト、運用を行うことは、プロアクティブな運用への道筋を描くための強力な組み合わせです。

サイバー脅威は増大し続けており、攻撃対象領域は進化し続けるでしょう。しかし、有能な機械学習による自動化、既存のサイバー専門知識、従業員のトレーニングに投資し、プロアクティブなセキュリティ実践を強化することで、CISO は予算を最大限に活用しながら、ビジネスに必要なサイバー回復力を提供する規模と俊敏性を開発できます。

Kory Daniels は Trustwave の CISO です。過去 15 年間、ダニエルズは、急速に成長する中堅企業からフォーチュン 500 のグローバル企業まで、組織がセキュリティ成熟度目標を定義、測定し、達成を加速できるよう支援する上で、進化する要件を監督し、サポートしてきました。

© コリー ダニエルズ

arrow_upward