Stephen Schmidt、AWS 最高情報セキュリティ責任者

一部のセキュリティ組織が他のセキュリティ組織よりも成功しているのはなぜですか? また、成功しているセキュリティ組織はどのように見えますか? AWS CISO の Steve Schmidt が彼の見解を示し、成功したセキュリティ組織で観察された 3 つの一般的な特性と、それらの特性を有利に適用している CISO の 3 人の仲間に焦点を当てています。これらの CISO が企業のリスク態勢を改善し、他の CISO よりも迅速かつ効率的に新しいビジネス価値を生み出すことができる理由を学びましょう。


セキュリティの民主化

CISO、CSO、CTO などのセキュリティおよびリスクマネジメント幹部の責任が劇的に拡大していることは周知の事実です。

私たちは、セキュリティの脅威に対して先制的に取り組みながら警戒し、ビジネスネットワークを保護する責任があります。さらに、これだけでなく、組織ブランドの管理者になるために急速な進化を遂げ、取締役会の信頼性と顧客の信頼を構築しながら、その評判を強化しています。

アマゾン ウェブ サービスの CISO として 12 年以上にわたり、クラウドとセキュリティの導入において多くの AWS のお客様と提携して、この変革を非常にうまく行っているいくつかの優れた組織を認識するようになりました。また、そのような組織がどうやって変革を行っているかを直接確認することができました。

成功したセキュリティ組織とはどういう意味ですか? 他の企業よりも効率的な速度でリスク態勢を改善すると同時に、クラウドの使用を最適化して、より速いペースで新しい形態のビジネス価値を生み出す企業を指します。

法務およびコンプライアンスの専門家、監査パートナー、規制当局と緊密に連携することは、おそらく 3 つの特性の中で最も重要です。セキュリティの専門家と同じように、これらの個人は組織を保護する任務を負っているため、早期かつ頻繁に関与する必要があります。クラウドを迅速に採用できるセキュリティ組織は、法務、監査、コンプライアンスの利害関係者が強力な味方になる可能性があることを認識しています。

素早く頻繁に通信する

大きな成功を遂げるセキュリティ組織の特徴
大きな成功を遂げるセキュリティ組織の特徴
一部の企業は他の企業よりも効率的にリスク態勢を改善することができます

成功しているセキュリティ組織は、法務、監査、コンプライアンスの専門家と積極的にコミュニケーションを取り、連携を優先します。これは当たり前のことのように思えますが、組織が内部統制システムを確立し、その過程で適切なチームと適切に連携していないことが原因で勢いを持続できないことがよくあります。一部の組織では、特定のプロセスの途中または終わりに関係者を参加させるという従来の運用方法を克服することが必ずしも容易ではありません。セキュリティリーダーとしては、製品の構築後にセキュリティが「強化」されることを望んでいません。同様に、必要な手順をセキュリティプロセスに統合して、法務、監査、およびコンプライアンスの要件を積極的に順守する必要があります。AWS で定期的に行っていることの 1 つは、お客様とその内部監査人と早い段階で関わるようにして、クラウドで正常に監査を行う方法を関係者に教えることです。これを行うには、ガイダンスとツールを提供し、「ゲームデー」の模擬監査演習を実施します。


関連資料

セキュリティに関するリーダーシップの育成
eBook
セキュリティに関するリーダーシップの育成
システムやツールを超えて、人材に投資する
セキュリティ文化の育成
eBook
セキュリティ文化の育成
規範と実践はリスクの認識を確立するのに役立つ
セキュリティ&コンプライアンスクイックリファレンスガイド
eBook
セキュリティ&コンプライアンスクイックリファレンスガイド
堅牢なセキュリティと規制コンプライアンスを維持するための戦略

チームをどのようにクラウドに移行しますか?

新しいチームを雇うよりも、現在のスタッフのスキルを整え、スケールアップする方が費用がかかりません。