CISOのプレイブック:DXCがセキュリティをビジネスの成長に合わせる方法
CISOのプレイブックは、業界トップのサイバーセキュリティエグゼクティブによる戦略的洞察を特集した継続的なシリーズです。この投稿では、DXC TechnologyのCISOであるMike Baker氏を特集しています。
サイバーレジリエンスは、もはやチェックボックスにチェックを入れることではありません。それは、リスクを戦略で上回ることであり、単に反応するだけでなく予測する戦略です。
それが、DXC TechnologyのCISOであるMike Baker氏のビジョンです。130,000人を超える従業員と、世界で最も複雑な企業にまたがる顧客基盤を持つBakerは、サイバーセキュリティをITの問題として扱う余裕はありません。彼にとって、それはビジネスを可能にするものです。
「昔は、ファイアウォール、ウイルス対策、エンドポイントツールがあれば、それで十分でした」とベイカー氏は言います。「今日では、それはかろうじて表面をなぞったにすぎません。」
現在、ベイカーはDXCのグローバルセキュリティ戦略を主導しており、ビジネスを遅らせることなく保護するという1つの指針を掲げています。それにはツール以上のものが必要です。ゼロトラストとAIを活用した、まとまりのある将来を見据えた戦略が必要です。
ゼロトラスト + AI = 完璧な組み合わせ
現代の脅威のスピードと規模に対応するために、CISOは ゼロトラスト とAIを個別の投資ではなく、戦略的な組み合わせとして扱う必要があるとベイカー氏は考えています。
「ゼロトラストがフレームワークです。AIは能力です」と彼は説明しました。「これらを組み合わせることで、より良い意思決定をより迅速に行うことができます。」
DXCでは、その戦略が独自のネットワークで毎日実行されています。そして、それはDXCが顧客に推奨するものです。
DXCのセキュリティチームは、ロールベースのアクセスと マイクロセグメンテーション を使用して、適切な人だけが適切なデータにアクセスできるようにしています。AI は、ポリシーの適用を自動化し、異常にフラグを立て、ユーザーの行動に基づいてアクセスを動的に調整することで、これらの制御を強化します。
ゼロトラストがフレームワークです。AIは能力です。これらを組み合わせることで、より適切な意思決定をより迅速に行うことができます。
それを可能にする鍵は、組織のセキュリティデータの統一された構造化されたビューを提供するセキュリティグラフです。
「セキュリティグラフは新しいものではありません」と彼は言いました。「しかし、変わったのは、プラットフォーム全体で AI を実現するためにそれらがいかに重要であるかということです。」
これらのグラフは、組織に、ユーザー、デバイス、およびシステムがネットワーク内でどのように相互作用するかのモデルを提供します。これらにより、AI はパターンを大規模に検出し、リスクをより迅速に表面化し、人間が点と点をつなぐのを待たずに迅速な対応をトリガーできるようになります。
「AI とセキュリティ グラフを組み合わせることで、検出時間が短縮され、人々をより価値の高い仕事に充てることができます」とベイカー氏は述べています。「それは力の倍増です。」
コンプライアンスの先へ
あまりにも多くの組織が依然として コンプライアンス をサイバーセキュリティの北極星として扱っています。ベイカーにとって、それは危険な罠だ。
「コンプライアンスはテーブルステークスです」と彼は言いました。「ゼロトラストは、チェックボックスを超えて、積極的に考え始めるのに役立ちます。」
Baker 氏のチームは、新しい規制を満たすために制御を改修する代わりに、コンプライアンス要件だけでなく、根本的なネットワーク リスクに対処するプロアクティブで反復可能なプロセスを構築します。
コンプライアンスはテーブルステークスです。ゼロトラストは、チェックボックスを超えて、積極的に考え始めるのに役立ちます。
このアプローチにより、DXCは監査に先んじて、長期的な改善のためにリソースを解放できます。また、セキュリティチームは、いつものように、義務が変化したときの適応力を高めます。
「コンプライアンスの追求からリスクの予測へと移行します」とベイカー氏は言います。「これにより、組織全体のレジリエンスが、コンプライアンス義務のベースライン要件を超えて強化されます。」
また、セキュリティをコストセンターではなく資産として捉えたいビジネスリーダーとの信頼も構築します。
ツールではなく戦略で主張する
ベイカー氏のキャリアの中で見られた最大の変化の1つは、CISOが 取締役会とどのようにコミュニケーションをとるかです。パッチ数やツールの展開を報告する時代は終わりました。
「今日のサイバーセキュリティは、コントロールの山ではなく、総合的な戦略を示すことです」とベイカー氏は述べています。「ネットワーク全体で時間、エネルギー、投資をどこに費やしている のか 、そしてその 理由を取締役会に示さなければなりません。」
そこでゼロトラストの出番です。セキュリティリーダーは、ユーザーやデバイスからデータやアプリケーションに至るまで、組織をどのように保護しているかを説明するための明確でビジネスに適したフレームワークを提供します。
「組織をどのように保護しているのか、どこに投資を優先しているのかを明確に説明できます」と彼は言いました。「理事会はそれを理解しています。」
CISOは、ダウンタイムの削減、知的財産の保護、顧客の信頼の維持など、すべての意思決定をビジネスへの影響に結び付けることで、会話を恐怖に基づく指標からレジリエンスと即応性にシフトさせることができます。
ビジネスを遅くすることなく保護します
セキュリティが生産性のボトルネックであってはなりません。Baker 氏は、摩擦のないセキュリティを重要な競争上の優位性と見なしています。
「ユーザーは速度が低下していると感じるべきではありません」と彼は言いました。「彼らは安全に仕事をすることができることを確認すべきです。」
DXCでは、セキュリティ制御は可能な限り目に見えないように設計されています。スマート デフォルト、アダプティブ アクセス、組み込み AI により、従業員は新たなリスクを生み出すことなく迅速に行動できます。
このバランスはイノベーションに不可欠です。「信頼は成長の通貨です」とベイカー氏は語った。「私たちのデータと顧客のデータを保護できなければ、成長するための信頼を得ることはできません。」
信頼は成長の通貨です。私たちのデータと顧客のデータを保護できなければ、成長するための信頼を得ることはできません。
そのため、DXCはゼロトラストをクライアントに宣伝するだけでなく、独自のネットワークインフラストラクチャでゼロトラストを実践しています。ベイカー氏がAIを新たなツールとしてではなく、基本的な機能として扱う理由でもあります。
「攻撃者はすでにAIを使用して攻撃を加速しています」と彼は言いました。「AIを採用しないことは機会を逃すだけでなく、負債でもあります。」
迅速かつ大規模なビジネスを保護
取締役会は可視性を求めています。顧客は信頼を求めています。攻撃者は減速していません。
この環境でリーダーシップを発揮するには、CISOはビジネス成果に沿った明確でまとまりのある戦略を必要としています。
そのため、ベイカーはゼロトラストとAIを倍増させ、 イルミオ などのパートナーと協力して、 AIを活用したオブザーバビリティ とゼロトラスト制御でその戦略を実現しています。
セキュリティリーダーへの彼のアドバイスは、「本当の話をしてください。セキュリティへの投資がビジネスをどのように保護しているかを示します。ゼロトラストなどのフレームワークや AI などの機能を使用して、戦略を意味のあるものにします。」
結局のところ、今日のCISOは、システムを保護するだけでなく、妥協することなくビジネスの回復力を維持する必要があります。
ゼロトラストとAI戦略を実行に移す準備はできていますか?開始 イルミオインサイトの無料トライアル 今日。