バイデン大統領が最近発表したサイバーセキュリティに関する大統領令では、公共部門が民間企業と協力してより安全な環境を構築することを求め、ベストプラクティスとして情報共有の重要性を強調しています。 情報共有には多くの注意が必要なため、多くの人は「情報共有」をリスクや責任と同義語で捉えているかもしれません。 誤った方法で情報を共有すると、エクスポージャーといった脆弱性のリスクを高めることになりかねません。
Yubicoでは、情報共有は慎重に行う必要があると考えています。 当社は日常的に機密性の高い情報を扱っており、企業のセキュリティやリスク管理に対する責任を担っています。 また、企業構造は、株主に対する受託者責任を負っており、いかなる情報共有もその責任が侵害されるリスクを考慮しなければなりません。
官民一体となってこのテーマに取り組むには、さらに多くの議論が必要です。 代わりにここでは、情報共有に関連するリスクについて私がどのように考え、個人としてこれらの懸念を緩和するためにどのようにアプローチしてきたかを共有したいと思います。
コントロールの喪失
情報が共有されると、その情報を保護する責任が拡大・分散されます。 ツイートで誤って共有してしまったパスワードのように、いったん情報が公開されると、もはや自分ではコントロールできません。 最悪の場合でも、情報にアクセスできる各個人が、その情報を内密にすることを信じられる必要があります。
シアトルには有名なバーがあり、多くのセキュリティ専門家が毎週のように集まり、リラックスして話を交わしています。 シアトルは、新製品のソフトウェアやハードウェアの脆弱性を発見することに特化したセキュリティ専門家のメッカです。 これはまさに情報流出のための組み合わせです。 飲み放題のアルコールと、機密性の高い情報を頭に入れている人たち!
必ず、飲み過ぎる人がいます。 アルコールというものは、ただでさえ話してはいけない話をしてしまいがちな人たちの口をさらに軽くしてしまいます。 なぜそのような話をしてしまうのでしょうか? 多くの場合、それは賞賛されたい、組織や集団で成功していると見られたいという気持ち、あるいは個人的な自信喪失や不安などの理由からです。 その結果、リモートコード実行のバグの処理を誤り、たとえそれ以上の影響がなかったとしても、契約を解除されてしまっていたかもしれません。
このような光景を見たことがあるなら、それはあなたにとって教訓となるでしょう。 誰かが口を滑らせてしまった内容を、それによって利益を得る可能性のある他の人と共有することを望まないなら、注意深く行動するようにしましょう。
では、共有することには大きなリスクがあることは誰もが知っていますが、共有しない場合のリスクは何でしょうか?
マイナス面は、堀を作ると組織が島のように孤立した存在になってしまうことです。 仲間と連絡を取り合い助言を求めたり、互いに情報交換したりすることを躊躇し、後で自分がキャッチアップしておくべき重要な情報を見落としてしまうことは、外の世界と共有しすぎることと同じくらいの損害を被る可能性があります。
誰を信頼しますか?
セキュリティ侵害が発生した場合、跳ね橋を上げて島への通行を制限するように外の世界を遮断したくなりがちです。 しかし、仲間に連絡をして、問題を発見しているかどうか、問題を抱えているかどうか、あるいは問題に対応しているかどうかを確認することは有益なことです。 こうして追加情報を早い段階で入手することは、侵害に対する組織の対応に大きく役立ち、損害を与える可能性のある誤った対応を修正できます。
これは軽視すべきではない予測されたリスクです。 双方向の情報共有で信頼できるのは誰ですか? 私が何十年もの間、有益だと考えているベストプラクティスをいくつかご紹介します。
- まずは、インナーサークルの信頼できる人たちとの関係を、あらかじめ構築しておくことから始めましょう。彼らとは、長年の付き合いがあり過去の情報共有の場面での行動をあなたが観察してきた人たちのことです。 私は、キャリアをスタートさせたときから知っているセキュリティリーダーと定期的に会っています。 長い歴史と経験を共有することで、快適で比較的安全な双方向の会話が可能になります。
- 特定の業界向けに設立された情報共有分析センター(ISAC)など、セキュリティ情報の共有を促進する共同事業体または協会にも精通しておきましょう。 また、Infraguardは、特に地方自治体や連邦政府に関わりのある個人や企業にとって優れたリソースです。
- インナーサークルで1対1またはグループでの会話を始めるのに役立つ安全なメッセージングシステムを見つけましょう。 私は、より機密性の高い会話には、SignalとKeybase(現在はZoomに買収されています)を使用しています。 連絡を取り合うには、Slackやお気に入りのビデオ会議ソリューションを使います。
- 失敗や後悔している情報開示から学びましょう。 私はこれまでのキャリアの中で、情報開示に関するミスをしたことがあります。 ある事例としては、印象的な面接候補者についてのミスがあります。 リスクは報われず、このミスは危うく私のキャリアを破壊するような情報公開につながるところでした。
- 共有して問題が起こる前に、社内で幹部の賛同を得ましょう。 機密情報を持つ会社の担当者として、自分が何をしているのかを適切な幹部に知らせ、自由に業務を行うための承認を得ることは当然のことです。 共有できるものとできないものについて、法律上または規制上のガイドラインを法務チームが提供できるように、法務チームに情報を提供しても問題はありません。 そうすることで、将来的に何かミスがあったときに、責任を押し付けられるのではなく、会社のリーダーからサポートしてもらえる可能性が高くなります。 このような社内の人間関係やコミュニケーションラインを早期に確立しておくことが大切です。
恐怖に日々を支配させないようにしましょう
この業界では年を取ることもリスクのひとつです。 年を重ねるごとに、貴重な「学んだ教訓」によって、自然と慎重になっていくものです。 CISOは、技術を理解し、信頼できる友人のネットワークを形成する必要がありますが、それには何年もかかります。 このプロセスは、情報の流通を助けるいくつかの団体を加えることで強化することができます。しかし最終的には、詳細を話し合える友人がどうしても必要です。
アジャイルなCISOは、過度に用心深くなることをどうにかして乗り越え、情報共有について戦略的に行動しなければなりません。 会話の自由は、次の危機や大きな失敗を防ぐ賢明な先制行動を左右します。
YubicoのCISOであるChad Thunbergは、CISOが日々の職業生活の中で直面する課題について頻繁に執筆しています。 前回のコラムは、最近のセキュリティスキル不足にCISOがどのように対応できるかについて書かれています。
————-
この記事は、当初はSecurity Magazineに掲載されたものです。
