/
サイバーレジリエンス

スポケーン・ティーチャーズ・クレジット・ユニオンの5人体制のセキュリティチームがゼロトラストの成功をいかに実現したか

グレッグ・ミッチェルのヘッドショット
STCU ITアプリケーションマネージャー、グレッグ・ミッチェル

スポケーン教員信用組合 (STCU) のグレッグ ミッチェル氏率いる 5 人の小規模チームは、多くの大手金融機関が夢見るだけの成果を達成しました。同社はゼロトラスト戦略の一環として、90% を超えるセグメンテーションの実施を達成しました。

STCU の物語がこれほどまでに魅力的なのは、数字だけではなく、チームの考え方によるものです。

The Segmentポッドキャストの最新エピソードでの会話の中で、Greg は彼と彼のチームがゼロ トラストの実装中に学んだ 5 つの教訓を共有しました。  

私たちは、リーンチームがセグメンテーションをビジネスの優先事項に変え、段階的に回復力を構築し、その過程で組織全体の関係を強化する方法について議論しました。

1. サイバーセキュリティをビジネスイニシアチブにする

セキュリティはビジネスを「サポート」しなければならないとよく聞きます。グレッグは違った見方をしている。

「私たちはレンズを変えたようなものです」と彼は言った。「これはビジネス上の取り組みと同じくらい重要です。これは、リーダーシップの賛同を得て四半期ごとに追跡するもう 1 つの取り組みになりました。」

そのフレーミングは重要です。セグメンテーション などの ゼロ トラスト イニシアチブがコア ビジネス プロジェクトとして扱われると、収益を促進するイニシアチブと同じ注目、リソース、勢いが得られます。  

また、これは会社全体に「サイバーセキュリティはオプションではない」という強力なメッセージを送ります。

2. 早期の成功のためには、小規模な組織は(非常に)小規模から始めるべきである

ゼロ トラストの一般的な知恵は、組織の最も重要な資産を保護することから始めることです。これにより、早期の進捗が示され、取締役会レベルの承認が得られ、ビジネスが最も依存するデータ、アプリケーション、リソースがロックダウンされます。

しかし、STCU のような地域信用組合にとって、いかなる間違いや失敗も悲惨な結果を招く可能性があります。そのため、Greg は Zero Trust の出発点として少し異なるものを選択しました。

「小さな勝利を望んでいるなら、まずは小さなアプリケーションから始めてください」と彼はアドバイスした。「プレイブックを構築し、自信をつけてから、より重要で複雑なアプリケーションに取り組みましょう。」

グレッグのアプローチはうまくいった。STCU は初期の障害を回避し、信頼性、信用、繰り返し可能なプロセスを構築しました。  

進捗は着実に進み、施行率は 90% に達しました。Greg 氏の言うとおり、アプリを 100% 公開から 40% 保護に移行させることさえ進歩です。特に小規模な組織では、あらゆる増加が重要です。

小さな勝利を望んでいるので、まずは小さなアプリケーションから始めましょう。プレイブックを構築し、自信をつけてから、より重要で複雑なアプリケーションに取り組みます。

3. ルールだけでなく人間関係を築く

多くの組織では、ゼロ トラストは純粋に技術的なものと見なされることが多いです。しかし、グレッグは予想外のビジネス上の利点、つまり部門間の連携強化を強調しました。

「私たちが見つけた最大のメリットは、仲間同士の関係構築が少し強化されたことです」と彼は語った。「ブロックの表示方法やセルフサービス方法についてチームをトレーニングしました。これはすべて密室で行うということではありませんでした。それはパートナーシップについてでした。」

この透明性により、摩擦の原因となり得たものが、IT とビジネスの間の架け橋へと変わりました。また、これは、グレッグの 5 人からなる小さなチームが組織の他のメンバーからサポートを受けられることを意味し、全員の仕事がはるかに容易になります。

4. 「違反を想定する」という考え方を実践し、テストする

グレッグ氏はまた、四半期ごとの災害復旧訓練とサードパーティの侵入テストを通じて STCU の回復力をテストする方法も説明しました。

「災害復旧、災害復旧、災害復旧」と彼は強調した。「楽しいことではないけど、大切なことなんです。ギャップを見つけて、それを修正するのです。」

これは、私がサイバー業界全体で見つけ始めているテーマと一致しています。サイバーレジリエンスは単なる戦略ではなく、ライフスタイルなのです。  

設定したら忘れてしまうようなことはありません。それが自然にできるようになるまで練習します。これはセキュリティ チームだけでなく、組織全体に当てはまります。

5. リーダーシップの賛同を力の倍増に

グレッグはあらゆる場面でリーダーシップを称賛した。

「私たちの監督には脱帽です」と彼は言った。「リーダーが優先事項だと言ったら、次の人がそれを実行するのも優先事項になります。」

このトップダウンの取り組みにより、Greg の小規模チームは生産性を犠牲にすることなく、ゼロ トラストの取り組みとその他の IT およびビジネスの優先事項のバランスをとることができました。

STCU の次のステップは、Zero Trust をMicrosoft Azure環境に拡張することです。プレイブックは変わりません。適切なアーキテクトを早期に関与させ、テクノロジーをビジネス目標に合わせて調整し、すでに機能しているものを拡張します。

小さなチームから学ぶゼロトラストの大きな教訓

ゼロ トラストは複雑すぎる、コストがかかりすぎる、混乱を招きすぎるのではないかと懸念している小規模組織のリーダーにとって、STCU はそうではないことを証明します。正しい考え方があれば、小規模なチームでもエンタープライズ レベルの回復力を実現できます。

グレッグはこう表現しました。「ゼロ トラストとは考え方です。大金を費やす必要はありません。持っているものを活用し、リーダーシップの賛同を得て、継続してください。できることは常にもっとあるのです。」

The Segment: A Zero Trust Leadership Podcast の会話全文を 林檎, スポティファイ、または私たちの website.

関連トピック

関連記事

次世代ファイアウォールの歴史と課題
サイバーレジリエンス

次世代ファイアウォールの歴史と課題

次世代ファイアウォール(NGFW)の推進力、複雑さに関する課題、将来のイノベーションの可能性について学びます。

Log4jの脆弱性がDevSecOpsの重要性を浮き彫りにする理由
サイバーレジリエンス

Log4jの脆弱性がDevSecOpsの重要性を浮き彫りにする理由

2021年12月、世界中のITセキュリティチームと開発組織は失礼な警鐘を鳴らしました。

MOVEit から学ぶこと:組織がレジリエンスを構築する方法
サイバーレジリエンス

MOVEit から学ぶこと:組織がレジリエンスを構築する方法

MOVEit ファイル転送アプリケーションの新しいゼロデイ脆弱性から組織を保護する方法をご覧ください。

未来をマッピングする:サイバーセキュリティの可視性が最大の利点である理由
サイバーレジリエンス

未来をマッピングする:サイバーセキュリティの可視性が最大の利点である理由

CISOがクラウドセキュリティ、AIリスク、システミック脅威をマスターするために、マップメーカーのように考える必要がある理由をご覧ください。

ゼロトラストは成長しました。創設者が次に発表した内容は次のとおりです。
Segmentation

ゼロトラストは成長しました。創設者が次に発表した内容は次のとおりです。

セキュリティグラフ、攻撃者の考え方、スマートな優先順位付けがゼロトラストの成功の未来の鍵となる理由をご覧ください。

サイバーセキュリティの女性がリーダーシップのトップレッスンを語る
イルミオの文化

サイバーセキュリティの女性がリーダーシップのトップレッスンを語る

サイバーセキュリティに携わる3人の女性が、メンターシップ、アライシップ、業界の固定観念を打ち破ることについての洞察を共有しながら、強力なリーダーシップの教訓をご覧ください。

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?