Salesforce でのセキュリティ意識向上プログラムの構築と測定方法

Salesforce が市場で最も安全なエンタープライズクラウドを構築する上で、コンプライアンスは最も重要です。それを達成する手段の 1 つであるセキュリティ意識向上ダッシュボードは、測定基準の見直し、リソースの優先順位付け、プログラム全体の革新に役立っています。
Salesforce でのセキュリティ意識向上プログラムの構築と測定方法

サイバー犯罪からビジネスを守ると言えば、まずソフトウェアソリューションや技術部門を連想するかと思います。その一方で、サイバーセキュリティ侵害の大部分 (約 82%) が人的ミスの結果であることを知れば驚くかもしれません。実際、セキュリティに関する知識レベルの違い、単純な要求を信じ込んでしまう人間の傾向、攻撃者が熟知している社会的行動などのせいで、従業員がサイバー犯罪者にとって絶好の攻撃経路となることがよくあります。

 そのため、しっかりとしたセキュリティ意識向上プログラムを構築することは、人的リスクを管理し、組織全体に強固なセキュリティ文化を形成する上で不可欠な要素です。しかし、セキュリティ意識向上プログラムには具体的に何が必要なのでしょうか。また、組織はどのようにしてその成功を測定できるのでしょうか。

Salesforce では、SANS Security Awareness Maturity Model (SANS セキュリティ意識成熟度モデル) をベンチマークツールとして使用し、セキュリティ意識向上プログラムの成熟度についてのガイダンスを提供しています。また、持続的な「文化の変革」と「測定基準の枠組み」のベンチマークを達成し、維持するための努力を続けています。SANS の成熟度モデルは格好のスタート地点ですが、Salesforce セキュリティ意識向上チームにはさらに、プログラム上の目標がいくつかあります。 

目標に向かって努力する

Salesforce は、何よりもまず、市場で最も安全でコンプライアンスに準拠したエンタープライズクラウドを提供することに努めています。信頼とセキュリティの文化を築き、ビジネスとして合法的に活動していくためには、コンプライアンスが最も重要です。これには、PCI (Payment Card Industry Data Security Standard)、FedRAMP (Federal Risk and Authorization Management Program)、SOX (Sarbanes–Oxley) といった規格に関連する要件を満たすことが含まれます。 

2 つ目の目標は、特にユーザー側の不注意による自己原因性のインシデントに関連する問題への対応に集中することです。こうしたインシデントには通常、一連の重要なセキュリティ行動 (エンジニアリングと非エンジニアリングの両方に関連する) が含まれ、その例として情報の取り扱いミス、認証情報の取り扱いミス、設定ミス、コーディングの誤りなどが挙げられます。 

3 つ目の目標は、セキュリティ組織の全体的な戦略をサポートすることです。この戦略には、信頼を第一とする文化の構築、常識的なこと (脆弱性に対するパッチの適用、脅威の検出と緩和、セキュリティの守り手としての従業員教育など) を非常識なまでに徹底して実践すること、セキュリティはビジネスの革新を阻害するものでなく実現するものと認識し、セキュリティの水準を引き上げることが盛り込まれています。攻撃や攻撃者たちの手口は日ごとに巧妙化しています。Salesforce の優れたセキュリティプロフェッショナルは、こうした新しい脅威に先回りして対応できるよう、絶え間ない努力を重ねています。 

そして、これが最も重要なことですが、4 つ目の目標は社内の行動変容を促すことです。しかし、世界中に何万人もの従業員を抱え、その多くがバーチャル環境で働いている状況では、この確固たる目標を 1 つの小規模なチームで達成することは困難です。そこで、その「メトリクスの枠組み」というベンチマークを達成することを目指して、Salesforce では社内全体のパートナーシップを活用し、組織内の人的リスクに結び付くさまざまなデータをインプットするダッシュボードを構築することにしました。

セキュリティデータの世界はやっぱり狭い

セキュリティ意識向上データダッシュボードの構築は、「誰が何を知っているか」が非常に重要です。私たちは Salesforce のインシデント対応チーム (CSIRT とも呼ばれる) と常に連携し、ユーザーの不注意に関連する自己原因性のインシデントを減らすための意識向上を図っています。また、Threat Intelligence から収集したデータは、新たな脅威をいち早く察知し、将来発生する可能性のある新たなインシデントを阻止するために役立てられています。 

セキュリティ組織内のチームだけでなく、キャンペーンに利用できる最適なチャネルを理解し、データに基づくメッセージを発信するために、Employee Communications チームと連携しています。また、特にデータを通して従業員の行動を理解することを専門とする Employee Success Strategy and Analytics チームとも連携を図っています。 

このように協力することで、セキュリティ意識向上チームはプログラムを成功に導く指標ベースのアプローチを開発することに成功しました。コンプライアンス研修の履修データ、フィッシング詐欺のシミュレーションデータ、インサイダーリスクの評価、インシデント関連の問題、全体的な戦略など、行動の変化に結び付くベンチマークや目標を確立しています。また、さまざまなチームや組織から提供されるデータを利用してセキュリティ意識向上ダッシュボードの構築を続け、こうした重要な指標を表示してリーダー層が活用できるようにしています。 

さらに、これらの指標を活用して、組織全体で人的リスクのある領域をより正確に把握し、最も人的リスクの高い領域や組織に的を絞った教育を実施できるようになりました。現在では、プログラムの継続的な改善のためにこれらの指標を見直し、リソースの利用についての優先順位を改善し、社内の組織に共通する項目を明確にして、より革新的なプログラムを開発できるようになっています。 

組織内にセキュリティファーストの文化を築くことに興味をお持ちなら、Trailhead にあるSecurity Awareness Specialist Pathが役に立ちます。需要の高いスキルを学び、Trailblazer の仲間とつながり、サイバーセキュリティのキャリアを築いてください。



おすすめの事例