Salesforce がセキュリティ擁護者を生み出す方法

どの組織でも情報セキュリティチームがビジネスの安全確保に全力を尽くしていることは確かですが、絶対に安全ということはありません。お客様から従業員まで、すべての人がセキュリティの擁護者となれるように Salesforce が取り組んでいる方法を紹介します。
Salesforce がセキュリティ擁護者を生み出す方法

サプライチェーンへの攻撃、ランサムウェア、政治的に不安定な状況が続く現代においてサイバーセキュリティを擁護するには、責任の所在を追及するだけでは前進は望めません。私は個人的に、誰もがセキュリティの擁護者になることが大切だと考えており、それは特定の役割や責任というよりも、むしろ考え方だということに気付きました。

たとえば、ニューヨークの公共交通機関では「If you see something, say something (不審なものに気付いたら、すぐに報告を)」という標識をよく見かけます。そうすることで潜在的なリスクに目を向けるよう市民を訓練しているのですが、私たちの最も貴重な資産を守るという意味では、テクノロジー業界にも同じことが言えます。では、Salesforce では具体的にどのような方法をとっているのでしょうか? それはお客様の協力です。

ループに加える

Salesforce では、システムの稼働とデータの安全性を維持する能力に関して、お客様から絶大な信頼 (当社の最も重要な価値観) をいただいています。医療機関では患者さんの情報、金融サービス業では投資家の口座かもしれません。また、多くの政府や自治体が Salesforce を利用して新型コロナウイルスワクチンの接種状況を把握しています。こうしたデータの重要性を考えると、ハッカーによる攻撃が成功すれば壊滅的な打撃を受けることも考えられます。Salesforce がどのようなセキュリティ対策を講じているのか、なぜ Salesforce を信頼してデータを預けるべきか、お客様には知る権利があります。

Salesforce の情報セキュリティ担当ディレクターである私は、Salesforce の情報セキュリティ組織内にあるセキュリティ & コンプライアンスカスタマーサクセス (SCCS) チームの一員として、セキュリティの擁護活動にほとんどの時間を費やしています。私のチームでは、Salesforce のセキュリティイノベーションについてお客様に説明するだけでなく、お客様の代理として社内の製品チームやエンジニアリングチームへの提言を行い、重要なフィードバックのループを形成しています。 

情報セキュリティは継続的なプロセスであり、Salesforce はお客様のセキュリティ要件やイノベーションから学び、改善し続けることの大切さを認識しています。私のチームは、このようなアイデアを Salesforce 内の適切なエンジニアリングチーム、そして Salesforce のリーダーやエグゼクティブに伝え、可視化するためのパイプ役を担っています。お客様に代わって Salesforce の経営陣や製品チームへの提言を行い、継続的なセキュリティ向上を推進します。また、お客様から報告されたセキュリティ上の懸念を追跡および管理するツールを開発し、経営陣の最上層でも把握できるようにしました。このように、お客様のニーズを的確に把握することは、技術、プロセス、人材を何層にも重ねることで単一障害点を防ぐという、セキュリティへの深層防護アプローチの一環でもあります。

不審なものに気付いたら、すぐに報告を

セキュリティに対するアプローチの「人」の部分に関して言うと、Salesforce の社員全員が重要な役割を担っています。従業員を過敏にさせたくはありませんが、深刻な事態に発展する可能性のある不審な動きを早い段階で発見できるようなトレーニングを心がけています。フィッシングメールはその代表例です。専門家によると、攻撃の 75% から 91% が悪質なメールから始まるとされています。現在、危険なリンクをクリックさせたり、保護された情報を聞き出そうとしたりするソーシャルエンジニアリングの試みは、テキストメッセージ、QR コード、ソーシャルメディア、厄介なロボットコールにまで及んでいます。

「con-artist (詐欺師)」や「con game (信用詐欺)」などに使われる「con」という言葉は、「confidence (信頼)」という言葉に由来しています。詐欺師は必然的に、心理学を利用して「カモ」つまり被害者の信用を得ることに力を注ぎます。詐欺師は、被害者の「助けてあげたい」という気持ちや、被害者のエゴにつけこむことがあります。たいていの人は、ランチタイムにピザの箱を何十個も抱えて困っている人がいれば、普段は施錠されているドアを開けてあげようとするものです。 

同じように、攻撃者は被害者と同じ業界の初心者を装い、ソーシャルメディアを通して被害者と接点を持とうとするかもしれません (つながり申請は脳内にドーパミンを放出し、良い気分にさせます)。その上で、攻撃者は被害者の勤務先で導入されているツールや業務の進め方を詳しく把握するために「素朴な」質問を投げかけるかもしれません。 

以下は最近のやり取りからの抜粋ですが、ターゲットが質問に答えるよう仕向けた後、攻撃者がしばしば会話を発展させ、本来知り得ない情報を聞き出そうとすることがわかります。このケースでは、その情報が私になりすましたり、仲間内の誰かを特定したりするために利用される可能性があります。

毎年恒例の由緒ある DefCon ハッキングカンファレンスでは、その道のプロがターゲットとなる企業に電話をかけ、さまざまな口実や策略を駆使して「何食わぬ顔で」内部情報を引き出そうとする競技が行われます。こうしたプロフェッショナル同士の対決を見守ることは、ためになると同時に恐ろしくもあります。 

全世界があなたの手にかかっている

情報セキュリティチームは悪質なメールやテストファイルの添付を減らすための対策を講じることはできますが、確実な方法は存在せず、全員の協力を必要とします。ここで紹介したような攻撃 (その他の数えきれないサイバー脅威を含む) に立ち向かうには、従業員一人ひとりが雇用主や顧客に代わってセキュリティの擁護者を務めるという意識を持つ必要があります。 

従業員が会社に代わってセキュリティの擁護者の役割を果たせるようにするために、リーダーはどのように働きかければよいでしょうか。私たちは、その取り組みを楽しくすること、従業員が権限を与えられ、評価されていると実感できるようにすることで世界が変わることに気付きました。先日フィッシング詐欺を報告した私が Salesforce セキュリティチームから受け取った以下のメールには、称賛と感謝の言葉が綴られ、私がとったささやかな行動のインパクトが明確に示されています。

もちろん、従業員による危険なメールのやり取りを 100% 防ぐというのは非現実的な話です。統計的には、悪質な添付ファイルを受け取った個人のうち 12% がそれをクリックしてしまうとされています。皆さんの会社の従業員が数人程度なら、確率はそれほど高くないでしょう。しかし、全従業員に対するセキュリティ教育の重要性が低下することはありません。 

うっかりクリックしてしまった従業員に、失敗したと感じさせないことは非常に重要です。そのような従業員には、次はもっとうまくやれるという安心感を与え、さらなるトレーニングへのリンクを示す必要があります。私たちが発見したのは、ポジティブな励ましは、恥をかかせるよりもはるかに良い結果につながるということです。

ここから始める

Salesforce では、すべての製品やサービスにセキュリティを組み込むだけではありません。私たちのツールや私たちが学んだ教訓をお客様やパートナーのエコシステムと共有しています。なぜなら、データの秘密性と安全性を守る私たち全員の能力が向上すれば、イノベーションに集中し、共に強く成長することができると考えているからです。

ユーザーの教育、Salesforce 組織の保護、組織におけるセキュリティ文化の推奨について詳しくは、無料のオンライン学習プラットフォームである Trailhead の「セキュリティの基本」モジュールをご覧ください。需要の高いスキルを学び、履歴書に書ける資格を取得し、Trailblazer コミュニティとつながり、指導や雇用の機会を得ることができます。 

このブログ記事が皆さんの考える材料となり、皆さんがセキュリティの擁護者になり、周囲の人もそうなるように促すきっかけとなれば幸いです。 



おすすめの事例