スケープゴートされないためにCISOが今すぐやるべき4つのこと

米証券取引委員会(SEC)は10月30日、ソーラーウィンズ社と同社の元最高情報セキュリティ責任者Timothy G. Brown氏を68ページに及ぶ訴状で告発した。同社と当時のセキュリティ責任者が「同社のサイバーセキュリティの不備、および増大するサイバーセキュリティリスクの両方を隠蔽する虚偽記載、情報漏れ、企み」によって投資家や顧客を欺いたと主張している。

Contrast SecurityのCISOのDavid Lindnerは言う、「まぁ、それは気掛かりなのだが、残念ながらサイバーセキュリティのリーダーが会社のセキュリティ体制に対する説明責任を問われるのはこれが初めてではないし、これが最後でもないだろう。」

法廷での証言と文書によると、Uberの元最高セキュリティ責任者のJoe Sullivanのチームは、犯罪者である攻撃者をUberのバグ報奨金プログラムに紹介し、この不正者達に報酬を支払っていた。彼らは、あたかもセキュリティの脆弱性を責任を持って報告する「ホワイトハット」研究者であるかのようだった。実際は、そうではなかった。彼らは2人のハッカーで、少なくとも10万ドルを要求し、約60万人のUberドライバーの個人情報と、5,700万人の乗客とドライバーの個人情報を盗んだ。バグ報奨金プログラムの上限は1万ドルだったが、Sullivanと彼のチームは悪意のある行為者に10万ドルを支払い、秘密保持契約書に署名させたとされている。(Sullivanは有罪判決を不服として控訴している。)

こうした犯罪性の疑いがある以上、裁判所がSullivanを有罪としたのかを理解するのは簡単だとContrastのCISOは言う、「それは、わかる」と。しかし、公表されている以上の情報がないとソーラーウインズ社の元CISOBrown氏の起訴の件は、むしろ分かりにくい。

Lindnerによると、SECが企業に対して、取締役会におけるセキュリティ知識の開示を要求しなかったことを考えると、SECは現在、CISO達をその身代わりとして追っているだけのようだという。「CISOとしての私の立場から言えば、セキュリティに関する技術的な専門知識がその職務に不可欠な要件であることは、ますます明らかになってきている。」「CISOというものは毎日、悪用される可能性のあるセキュリティリスクに対するタイムラインの調整の承認や受入れなど、重要な決定を下す任務を負っている。しかし、関連する技術的な複雑さを深く理解していなければ、CISOはTimothy G. Brownと同じような状況に陥り、訴訟問題に巻き込まれる可能性がある。」と、Linderはコメントしている。

この新しいスケープゴートの時代において、セキュリティ責任者はどのように自分自身を守るべきかについて、Linderからのアドバイスをお読みいただきたい。

Q：SECがソーラウィンズのCISOを起訴したことを受けてCISOの役割についてどう感じていますか？

A：正直、ストレスを感じている。ソーラーウインズのようなセキュリティインシデントは起こるものだから。そして、事実上CISOがスケープゴートになっている。どうして、いつもCISOになるのか理解できない。

このようなことに誰も気がづかないなら、何かが壊れている。取締役会に責任を負わせる。CEOに責任を負わせる。なぜCISOが100%なのか？

Q：企業の取締役会におけるセキュリティ要件に関して、SECが提案した変更について説明いただけますか？

A： SECは3月に、データ侵害やインシデントに関する通知期間など、さまざまなことを提示した。 誰もがこれに従わなければならなくて、侵害の通知は今や時間の問題となっている。この規則では、重大なサイバーインシデントを発見してから4日以内にSECに開示することが義務付けられている。

SECが推し進めていたことのひとつに、SECが規制する全ての企業で、取締役会にセキュリティ代表を置くことを義務付けるというものがあった。

多くの反発があり、それは取り下げられたもののひとつだった。 

まるで、「彼らは説明責任を負わせようとしている」ように感じて、取締役会に責任を負わせ、時々起こりるこうした問題に対して責任を負わせようとしているのだと思った。

しかし、今度は一転して、誰を直接追いかけているのか？現在 、CISOである人？事が起こった時、Brown氏はCISOですらなかったんだ。

(Brown氏は、2017年7月から2020年12月までソーラーウィンズ社のセキュリティおよびアーキテクチャ担当副社長および情報セキュリティグループ責任者を務め、2021年1月から同社のCISOを務めている。)

Q：セキュリティに影響を与える決定がCISOの意見なしに行われた場合、何が起こるでしょうか？

A：取締役会で議論される内容が、統制環境を変えてしまうことがよくある。

そして、議論したり下した決定がセキュリティに与える影響を理解している人がそこにいないとしたら、それは受入れ難いものだ。

彼らが「XYとZをやろう。」という決定を下す。すると、CISOは、その決定が既に別の方法で機能している統制環境にどうのように適用するかを理解する必要がある。CISOがその場にいないで決定に関与していなければ、付随する結果がビジネスにとって好ましくないものになる可能性がある。

例えば、エンジニアリング部門を変更する場合を考えてみよう。エンジニアリング部門を、1つの機能を実行する多くのグループを集中管理する時代遅れのアプローチから、あらゆることを実行するDevOpsに重点を置いたチームに変更するとする。企業がこのような動きをすると、タスクがより多くの人に分散され、より多くの人に分散されたアクセスが必要になる可能性がある。

ある時点で、CISOは顧客に対して「あなたのデータに直接アクセスできる可能性があるのは5人です。」などと伝えることがあったかもしれない。

それが、CISOが突然「今は200人です。」とは言えない。このような変更は、脅威の状況を劇的に増大させ、必要な管理を変更することになる。

セキュリティとプライバシーの観点から、実際に窮地に追い込まれるような決定が下される場合もあるが、もちろん、それにはCISOが取締役会に意見していることだろう。

構造の変更や組織の変更には、セキュリティと環境の仕組みや機能に影響を与えるものがある。セキュリティの専門家が行うべきは、プロセスを監視したり、SOCタイプ2やISOのようなコンプライアンスフレームワークに従うことだ。そこには、従わなくてはいけない特定の管理がある。そこに、ビジネスレベルでアーキテクチャの構造に大規模な変更を加え始めると、そのすべてに影響が及び、内容によっては悪影響となる可能性がある。

少なくとも取締役会や経営陣の前に出て、「おい、これはこれに影響があるだろう」といった意見を述べる必要がある。

なぜなら、あなたがその場にいないのに決定が下されれば、それがただ解決されることに期待することになるからだ。

リスクプロファイルや統制環境に影響を及ぼす部門全体を取り除くことになるかもしれない。実際に現場で何が起きているのか、それが契約上の義務にどのように適用されるのか、そして日常的に対処が必要なその他のあらゆる事柄について、知識と理解がある人が会議の場にいなければならない場面は、非常に多い。そのようなことが明らかでなければ、これらの決定を下すことはできない。もし、そのような人が存在せずその場にいないのであれば、どのようにしてビジネスが適切に機能し、少なくとも侵害を防ぐことができるのかは分からない。

Q：法的な拘束力の懸念は、CISOのリスク選好度と意思決定にどのように影響しますか？

A：CISOがその場にいないことは、よくあることだ。そのため、CISOをスケープゴートにして、「そうですか。私たちは知りませんでした。」と簡単にそしらぬ顔をできる。

しかし、知っておく必要がある。ビジネスを経営している者たちの責任を問う必要があるのだ。セキュリティは、ビジネス上の問題だ。そして、セキュリティ責任者に責任を負わせるのであれば、それは取締役会や経営幹部レベルにあり、それで終止符を打って終わらせる必要がある。

CISOをスケープゴートにしようとする風潮は、仕事を成し遂げようとしているCISOにとって状況をさらに悪化させかねない。「まぁ、狙われるのはCISOだから、私たちは関係ないよ」なんて馬鹿げている。

全てのCISOはこのことに注意を払うべきであり、これでリスク選好が変わらないとしたら驚きだ。たった1つの間違った決断やリスクを受け入れることが、将来訴訟問題に発展する可能性があると頭の片隅で知っていれば、リスク選好度をよりリスク回避的なものに変えるだろう。それを実行してくれる人がいるかや、輝かしい新機能の要求を押しのけるかに関係なく、「直せ！」という決断を下すことになるだろう。

このような意思決定は、毎日のように常に行われる。毎日、CISOやセキュリティリーダーには、「XYZのためにこの問題の修正を出せるか?」とか、「このリスクは容認できるか?」、「おい、このコンポーネントは使ってもいないぞ」などのリクエストが来る。

ほとんどのリーダーはこうした質問を受けることが 1 日に何度もあり、我々はその場で判断を下さなければならない。ビジネスの成功と、潜在的な悪用や侵害からビジネスを保護することのバランスを取る必要がある。そして、今回のようなことが起こり始めると、セキュリティは再びその障害となる存在になるだろう。なぜなら、CISOは侵害があった場合にSECから追及されることを懸念し、全く譲ることがきなくなるからだ。

Q：CISOはどのように身を守るべきでしょうか？

A：CISOは、高まる訴訟の脅威から身を守るために、積極的な対策を講じる必要がある。次のような戦略を検討してほしい。

1. 会社役員賠償責任保険(D&O保険)契約への加入を要求すること。これは、決定に疑問が生じた場合に備えて、法的保護レイヤーとなるだろう。
2. さらに、CISOは取締役会への直接アクセスを要求すること。そうすることで、懸念や推奨事項を組織の最上位レベルに確実に届けることができる。
3. また、戦略的な意思決定が行われる経営幹部との場に参加することを主張すること。この立場により、セキュリティをビジネスの目標に合わせて調整し、セキュリティを後回しにするのではなく、組織の戦略の不可欠な一部であることを確実にすることができる。
4. そのほか、CISOは雇用契約に具体的な解雇手当や退職条件を含めるよう努めるべきだ。このような条件が安全策として機能し、手に負えないセキュリティインシデントによって解雇や法的措置を受けた場合に、経済的な保護になる。

急速に進化するサイバーセキュリティの状況において、CISOが自らのキャリアを守り、その役割に関連するリスクを軽減するための積極的な対策を講じることが重要だ。このような保護対策を各自の立場に組み込むことで、サイバーセキュリティのリーダーシップという、複雑でリスクの高い世界をうまく切り抜けることができるようになるだろう。

Read more: 

• CISO Thoughts with David Lindner
• A CISO’s response to OWASP’s Top 10 Generative AI vulnerabilities: ‘This will be fun!’
• Get to know our CISO: The fearless, fishy, phish-fighting David Lindner
• CISO David Lindner on The top 8 AWS root user account best practices
• 3 reasons why upskilling the nation’s cybersec savvy won’t solve the skills gap
• If you’re seeing zero API attacks, you’re probably not detecting them
• Why we shouldn't treat the CVSS base score as gospel
• 6 of the biggest GitHub application security threats