スポケーン・ティーチャーズ・クレジット・ユニオンの5人体制のセキュリティチームがゼロトラストの成功をいかに実現したか

スポケーン教員信用組合 (STCU) のグレッグ ミッチェル氏率いる 5 人の小規模チームは、多くの大手金融機関が夢見るだけの成果を達成しました。同社はゼロトラスト戦略の一環として、90% を超えるセグメンテーションの実施を達成しました。

STCU の物語がこれほどまでに魅力的なのは、数字だけではなく、チームの考え方によるものです。

The Segmentポッドキャストの最新エピソードでの会話の中で、Greg は彼と彼のチームがゼロ トラストの実装中に学んだ 5 つの教訓を共有しました。  

私たちは、リーンチームがセグメンテーションをビジネスの優先事項に変え、段階的に回復力を構築し、その過程で組織全体の関係を強化する方法について議論しました。

1. サイバーセキュリティをビジネスイニシアチブにする

セキュリティはビジネスを「サポート」しなければならないとよく聞きます。グレッグは違った見方をしている。

「私たちはレンズを変えたようなものです」と彼は言った。「これはビジネス上の取り組みと同じくらい重要です。これは、リーダーシップの賛同を得て四半期ごとに追跡するもう 1 つの取り組みになりました。」

そのフレーミングは重要です。セグメンテーション などの ゼロ トラスト イニシアチブがコア ビジネス プロジェクトとして扱われると、収益を促進するイニシアチブと同じ注目、リソース、勢いが得られます。  

また、これは会社全体に「サイバーセキュリティはオプションではない」という強力なメッセージを送ります。

2. 早期の成功のためには、小規模な組織は（非常に）小規模から始めるべきである

ゼロ トラストの一般的な知恵は、組織の最も重要な資産を保護することから始めることです。これにより、早期の進捗が示され、取締役会レベルの承認が得られ、ビジネスが最も依存するデータ、アプリケーション、リソースがロックダウンされます。

しかし、STCU のような地域信用組合にとって、いかなる間違いや失敗も悲惨な結果を招く可能性があります。そのため、Greg は Zero Trust の出発点として少し異なるものを選択しました。

「小さな勝利を望んでいるなら、まずは小さなアプリケーションから始めてください」と彼はアドバイスした。「プレイブックを構築し、自信をつけてから、より重要で複雑なアプリケーションに取り組みましょう。」

グレッグのアプローチはうまくいった。STCU は初期の障害を回避し、信頼性、信用、繰り返し可能なプロセスを構築しました。  

進捗は着実に進み、施行率は 90% に達しました。Greg 氏の言うとおり、アプリを 100% 公開から 40% 保護に移行させることさえ進歩です。特に小規模な組織では、あらゆる増加が重要です。

小さな勝利を望んでいるので、まずは小さなアプリケーションから始めましょう。プレイブックを構築し、自信をつけてから、より重要で複雑なアプリケーションに取り組みます。

3. ルールだけでなく人間関係を築く

多くの組織では、ゼロ トラストは純粋に技術的なものと見なされることが多いです。しかし、グレッグは予想外のビジネス上の利点、つまり部門間の連携強化を強調しました。

「私たちが見つけた最大のメリットは、仲間同士の関係構築が少し強化されたことです」と彼は語った。「ブロックの表示方法やセルフサービス方法についてチームをトレーニングしました。これはすべて密室で行うということではありませんでした。それはパートナーシップについてでした。」

この透明性により、摩擦の原因となり得たものが、IT とビジネスの間の架け橋へと変わりました。また、これは、グレッグの 5 人からなる小さなチームが組織の他のメンバーからサポートを受けられることを意味し、全員の仕事がはるかに容易になります。

4. 「違反を想定する」という考え方を実践し、テストする

グレッグ氏はまた、四半期ごとの災害復旧訓練とサードパーティの侵入テストを通じて STCU の回復力をテストする方法も説明しました。

「災害復旧、災害復旧、災害復旧」と彼は強調した。「楽しいことではないけど、大切なことなんです。ギャップを見つけて、それを修正するのです。」

これは、私がサイバー業界全体で見つけ始めているテーマと一致しています。サイバーレジリエンスは単なる戦略ではなく、ライフスタイルなのです。  

設定したら忘れてしまうようなことはありません。それが自然にできるようになるまで練習します。これはセキュリティ チームだけでなく、組織全体に当てはまります。

5. リーダーシップの賛同を力の倍増に

グレッグはあらゆる場面でリーダーシップを称賛した。

「私たちの監督には脱帽です」と彼は言った。「リーダーが優先事項だと言ったら、次の人がそれを実行するのも優先事項になります。」

このトップダウンの取り組みにより、Greg の小規模チームは生産性を犠牲にすることなく、ゼロ トラストの取り組みとその他の IT およびビジネスの優先事項のバランスをとることができました。

STCU の次のステップは、Zero Trust をMicrosoft Azure環境に拡張することです。プレイブックは変わりません。適切なアーキテクトを早期に関与させ、テクノロジーをビジネス目標に合わせて調整し、すでに機能しているものを拡張します。

小さなチームから学ぶゼロトラストの大きな教訓

ゼロ トラストは複雑すぎる、コストがかかりすぎる、混乱を招きすぎるのではないかと懸念している小規模組織のリーダーにとって、STCU はそうではないことを証明します。正しい考え方があれば、小規模なチームでもエンタープライズ レベルの回復力を実現できます。

グレッグはこう表現しました。「ゼロ トラストとは考え方です。大金を費やす必要はありません。持っているものを活用し、リーダーシップの賛同を得て、継続してください。できることは常にもっとあるのです。」

The Segment: A Zero Trust Leadership Podcast の会話全文を 林檎, スポティファイ、または私たちの website.