サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年1月17日

ポイント1：HIPAA改正 - またお役所仕事か？

多くのメディアは、HIPAA改正案を大々的に取り上げ、セキュリティの穴を魔法のように塞ぐと主張している。ああ、そうですか。すでに多忙を極める医療従事者に、多要素認証(MFA)や暗号化といった面倒な手続きを強制することが、本当に攻撃者を阻止できると思っているのだろうか？これはセキュリティ対策のポーズに過ぎず、実際には避けられない侵害が発生した際に、医療従事者に責任を転嫁するためのものだ。そろそろこの規制という名の煙幕を暴き、真の解決策を要求する時が来た。例えば、新しい2024 EU製造物責任指令(PLD)のような、ソフトウェアのセキュリティ責任に対する無過失責任制を導入するのだ。単なる書類を増やすのではなく。

ポイント2：CISOとCFOの連携 - やっとその時が来た

この記事では、CISOとCFOの関係について説いている。やっとだ！セキュリティは、もはや孤立した技術者の領域ではない。CFOは、サイバーセキュリティが単なるコストセンターではなく、ビジネスの存続に不可欠であることを理解する必要がある。CISOは、専門用語を捨て、CFOの言葉でセキュリティの価値を証明する必要がある。安全なイノベーションと利益の両方を推進するパワーカップルとなる時が来たのだ。

ポイント3：脅威インテリジェンス - 証明できなければ、失うだけだ！

脅威インテリジェンスに無駄な費用をかけていると警告する人もいて、セキュリティチームに「存在意義を証明しろ！」と叫んでいる。彼らは正しい。我々は、盲目的にフィードを購入するのをやめる必要がある。CISOは、セキュリティ体制を実際に改善するインテリジェンスに焦点を当てる必要があり、さらにそのインテリジェンスの価値を証明する必要がある。CISOは、ベンダーに正確性、関連性、適時性を要求する必要がある。可視性とコンテキストを向上させるために、アプリケーションにおける検知と対応 (ADR)などのツールを使用する。脅威インテリジェンスが、単にかっこいいグラフや流行語ではなく、具体的な成果につながることを示す時が来たのだ。