クラウド時代の幕開けを制すCIOとCISOの協力戦法

マルチクラウドなIT環境への急速な移行と就労環境のハイブリッド化は、経営幹部間の力学にも変化を迫っています。つまり、CIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）との間により緊密な連携が求められるようになりました。

CIOとCISOが協力すれば、技術革新の推進とリスク緩和を健全なバランスで遂行することが可能になります。クラウドへの移行、とりわけ複雑なマルチクラウド環境への移行をより迅速に、効率的に完了させることも可能です。またDevSecOpsチームは、新たなソフトウェアアプリの導入に伴うリスクの軽減を図ることができます。CIOとCISOが盤石の協力体制を築いている場合、新規技術の導入に際して、運用上の課題やセキュリティリスクを共同で評価できます。

しかしこのようなメリットを手にするためには、CIOとCISOが共通の目標に基づくアジェンダを引き受けることが前提となります。たとえばCIOは、新たに投資する技術に対して常にセキュリティを組み込もうと考えます。一方でCISOの立場からすると、リスク回避のためにデジタルトランスフォーメーションのペースを落とすことはできません。多くの組織ではこのような場合、複雑な駆け引きが生じます。しかし、「イノベーションとセキュリティは密接な関係性を持つ」という共通理解がある場合に限り、この2つの両立を実現させることが可能となります。

NGO団体のLifeBridge HealthでCIOを務めるトレッサ・スプリングマン氏は「無数の地雷を避けて進まなくてはなりません」と指摘します。同団体のCISO、リック・ミラー氏は「セキュリティと運用の最適なバランスを実現させるには、一般的に、お互いの合意点を見つけ出すことです」と補足します。

グローバルに事業を展開する通信プロバイダーがElasticへの技術投資で283％のROIを達成した方法はこちら。

スマートなトレードオフを実行する

メリーランド州ボルチモア周辺で12,000名の従業員を雇用し、6つの病院を経営するLifeBridgeは現在、電子カルテやオンラインの遠隔医療ツール、ゲノム診断ソリューションをはじめとする新たなIT投資を進めています。このような技術投資は、セキュリティリスクの増大を招く可能性があります。医療分野におけるサイバーセキュリティは以前から重要課題となっています。サイバー攻撃によって病院のネットワークに障害が起きれば、その影響は患者への医療にも及ぶためです。米国連邦政府の報告書によると、昨年度は4,000万人の患者のカルテがデータ侵害のリスクにさらされていました。

テクノロジー分野のトップリーダーは、存在感を増す脅威にどのように対抗しているのでしょうか。

前出のミラー氏はこのように指摘します。「（リスクの多寡にかかわらず）医療サービス組織は構造的に、データ保護に必要な、非常に高価なツール群に投資する予算を確保できるとは限りません」

この現実は、過酷なトレードオフを強いることもあります。ミラー氏は以前、侵害リスクの軽減のために病院のITネットワークを分割することを提案しました。しかし、この変更には多額の費用が掛かり、ITサポートにも多くのリソースが必要となることが判明しました。そこでスプリングマン氏はミラー氏に対し、プロジェクトに関するデータをより詳しく提示して費用の正当性を示すよう求めました。ミラー氏は「CISOとCIOが衝突するのではなく、連携しながら組織にとって経済的なメリットを保証すれば、顕著なバリューを実感できます」と語っています。

また先日、スプリングマン氏とミラー氏は互いに協力し、買収企業のITシステムについて評価を行いました。スプリングマン氏の主な責務は、買収企業のハードウェアとソフトウェアについて調査することでした。一方ミラー氏の責務は、セキュリティリスク評価の実施でした。2人は一般的な組織のように敵対的なプロセスに陥ることなく連携し、買収を前向きに進めて問題ないこと、またリスク緩和の措置が取られていることを確認しました。

「この評価によって、理に適った買収評価が実現しました」とスプリングマン氏は説明しまます。ミラー氏は「セキュリティ機能は、LifeBridge Healthにおけるすべての行動に組み込まれています」と付け加えています。

Win-WinをもたらすDevSecOpsの実践

DevSecOpsとは、新規のソフトウェアアプリを開発する際に開発、セキュリティ、IT運用のチーム間でセキュリティの責務を共有する組織的な取り組みです。DevSecOpsの実践は、CIOとCISOが仕事上の関係を強化するための合理的な環境となります。CIOとCISOの両者にとって、開発するソフトウェアがサイバー攻撃に対して十分な抵抗力を備えていることの確認は、早期に運用を開始することと同じくらい重要です。

S&P Global Market Intelligenceのグループ企業、451 Researchが公開した調査データによると、DevSecOpsの取り組みは各所で加速しています。2015年にアプリセキュリティツールを使用した開発チームがわずか29％だったのに対し、2020年には48％にまで上昇しました。

Elasticでプロダクトマーケティング担当バイスプレジデントを務めるガガン・シンは次のように指摘します。「開発、セキュリティ、IT運用のチームとプロセスが互いにさらに協力的になったときの潜在的なメリットを想像してみてください。セキュリティチームにオブザーバビリティデータを提供すると、より多くのコンテクストを活用してすみやかに脅威検知と対応を進めることができます。同時に、開発者たちが領域横断的にセキュリティテクノロジーに精通している場合、開発の初期段階から安全性に配慮することで、その後の摩擦を抑えることが可能になります」

クラウドへの移行

CIOとCISOの緊密な協力が組織にメリットをもたらす領域はこれだけに留まりません。クラウドへの移行もその1つです。クラウドの導入は組織における情報の活用と共有方法に大きなビジネスバリューをもたらすだけでなく、サイバーリスクの性質を顕著に変化させます。とりわけマルチクラウド環境ではその傾向が鮮明です。マルチクラウド環境では脅威レベルをある程度抑制することができる反面、クラウドで起きているすべてのことを監視し、複合的な制御と権限を追跡するための負荷が増大します。

CIOとCISOの良好な協力関係は組織に確かなメリットをもたらしますが、各自の優先課題と責務については独立性を維持しなければなりません。独立性の維持によって、2者の定期的なコミュニケーションの重要性も一層高まります。スプリングマン氏とミラー氏の場合は2週間に一度会議を行っており、メールや電話ではほぼ毎日連絡を取り合っています。

CIOの経験を活かし『Truth from the Valley』を出版した著述家、マーク・セトル氏は次のように指摘します。「（パートナーシップの）大部分はコミュニケーションであり、個人的な関係性です。その2点に気を配らない限り、うまくいくことはありません。コミュニケーション能力と、他者の問題やニーズを前もって察知する能力に秀でた人間は、2つのグループの間に生じる摩擦の多くを回避することができます」

技術革新を迅速に進めながらセキュリティリスクの抑制を目指す組織にとって、最高情報責任者と最高情報セキュリティ責任者という経営幹部に良好な協力関係があることは重要です。2者の責務を横断して協力を実現させることは決して容易ではありません。しかし、共通の目標とコミュニケーションへのコミットメント、組織的なサポートがある場合、CIOとCISOは企業が安全にデジタルトランスフォーメーションを達成できるよう、確実に支援することができます。

併せて読みたい： The multicloud advantage: scalability, reliability, flexibility（マルチクラウドのアドバンテージ：スケーラビリティ、信頼性、柔軟性）