ニシャント・ソンカー氏はサイバーセキュリティとAIのリーダーであり、シスコのグローバルクラウドコンプライアンス責任者である。
AIの起業家であり、サイバーセキュリティのリーダーとして、私は現代の脅威に対してコンプライアンスフレームワークが追いつくのに苦戦している状況を目の当たりにしてきた。ガバナンスは、リスクとともに進化する生きたアーキテクチャではなく、単なる書類作業になってしまうことが多すぎる。このような考え方が、シスコで共通管理フレームワーク(CCF)を再構築してコンプライアンスを継続的な態勢に変えるまで、私のチームは6桁の契約更新を失いかけた。
監査圧力をアーキテクチャの変革に変える
2022年、シスコは最もセキュリティに敏感なクライアントの一つとの契約更新の準備をしていた。この契約は6桁の金額に相当するものだった。私はコンプライアンスレビューを主導し、それが方針や認証の日常的なチェックになると予想していた。しかし、チームが発見したのは、文書化された管理策と実際の実装との間の不一致だった。シスコは広範な認証と正式な方針を持っていたが、CCFは動的なガバナンスエンジンというよりも、静的なリポジトリのように機能していた。
これが変革のきっかけとなった。チームはCCFを方針の束ではなく、リアルタイムのセキュリティアーキテクチャとして再構想した。ISO 27001、SOC 2、NISTの管理策を一貫した構造に統合し、AWS、Jira、CloudTrailとの統合を通じて運用ワークフローに検証を組み込んだ。
このアーキテクチャアプローチは、私のケーススタディ「ISOコンプライアンス実践のスケーリング」で探求したいくつかの概念に基づいている。コンプライアンスがスプレッドシートや監査レポートに存在するのではなく、すべてのコードプッシュとデプロイメントの一部となった。方針はコードになり、コンプライアンスは態勢となった。
静的な管理策が失敗する理由:最近のケーススタディ
シスコで見たことは特異なケースではない。実際、フレームワークと現実の間のずれは一般的だ。最近の事例は、チェックリストだけでは現代のリスクを管理できない理由を示している:
• MGMリゾーツのサイバー攻撃:ハッカーがMGMリゾーツの業務を麻痺させ、同社はシステムを停止せざるを得なくなった。同社は後に投資家に対し、ホスピタリティ大手のコンプライアンス認証にもかかわらず、この攻撃により第3四半期の業績が約1億ドル減少すると伝えた。
• シーザーズ・エンターテインメントの身代金:ほぼ同時期に、シーザーズは顧客データの流出を脅したハッカーに1500万ドルを支払ったと報じられた。シーザーズはPCIコンプライアンスを満たしていたが、侵害は外部委託したITサポートに対するソーシャルエンジニアリング攻撃に起因していた。
• レントモジョの侵害:インドのレンタルプラットフォームであるレントモジョは、ハッカーがクラウドの設定ミスを悪用して顧客データにアクセスしたことを公表した。攻撃者はその後、盗んだデータを使って加入者を脅迫しようとした。
• MOVEitのサプライチェーン侵害:Progress SoftwareのMOVEitファイル転送ツールのゼロデイ脆弱性が連鎖的な侵害を引き起こした。2023年のサイバー攻撃の調査により、2700以上の組織と9300万人以上の個人が影響を受けたことが明らかになった。当時、アナリストは総コストが100億ドル近くに達すると推定していた。
いずれの場合も、フレームワークは存在していたが、その運用が失敗した。方針がクラウド環境、第三者、または分散したビジネスユニット全体にわたる管理策に変換されなかった。意図と実行のギャップこそが侵害が発生する場所である。2021年に発表した研究論文では、ガバナンス実現、脅威予測、インシデントシミュレーションを運用に組み込むことで、パッチが適用されていない脆弱性を50%以上削減し、監査準備を加速できることを実証した。
今日のフレームワークに潜む欠陥
統計も同様の状況を示している。最近の研究によると:
• 組織の98%は、少なくとも1つのサードパーティベンダーがデータ侵害を経験している。攻撃者はしばしば最初にサプライヤーを侵害し、より大きな企業に横方向に移動する。
• 2024年のデータ侵害の少なくとも35.5%はサードパーティの侵害に起因しており、2023年から6.5ポイント増加している。
• データ侵害の72%はクラウドに保存されたデータに関連し、30%は複数の環境にまたがっている。
• IBMによると、2024年の侵害の平均コストは488万ドルに達した。
• Cybersecurity Ventures(Cybersecurity Magazine経由)によると、2025年までにサイバー犯罪の世界的コストは10.5兆ドルに達すると予測されている。
これらの数字は、監査に合格するだけでは不十分である理由を示している。クラウドファースト、ベンダー依存の世界では、ガバナンスはアーキテクチャ、自動化、説明責任に組み込まれなければならない。チェックリストだけでは、実環境での侵害を防ぐことはできない。
リーダーへの教訓
ガバナンス変革を主導した経験から、コンプライアンスは生きた規律として機能する必要がある。リーダーは、ガバナンスを静的なチェックリストとして扱うのではなく、日常のワークフローと製品ライフサイクルに直接組み込むべきである。自動化、リアルタイムの証拠収集、CI/CDやクラウドシステムへの統合はもはやオプションではなく、現代のレジリエンスの基盤である。方針は円滑に実施に移されなければならない。リアルタイムダッシュボード、APIベースの検証、管理策の有効性に対する継続的な可視性により、チームはコンプライアンス保証から積極的な防御へと移行できる。
サードパーティのエクスポージャーは、最も持続的な弱点のままである。経営幹部はベンダーからの透明性を要求し、契約上の期待を測定可能な成果と一致させ、パートナーのセキュリティ態勢を継続的に監視して集団的信頼を維持する必要がある。テクノロジーだけではリスクを軽減できない。
人々は防御の最前線であると同時に、最も一般的な脆弱性でもある。あるケーススタディでは、AIが非言語行動を評価してバイアスを減らし、人間の意識を高める方法を検討した。これらの原則は、セキュリティファーストの文化を構築する上でも同様に適用される。
意識の文化を構築し、責任ある行動に報い、ゼロトラストの原則を適用することは、長期的なレジリエンスに不可欠である。真のレジリエンスはすべてのインシデントを回避することではなく、攻撃者が適応するよりも速く対応し回復することである。障害を隔離し、重要な業務を保護し、回復中の透明性を維持するアーキテクチャを設計する。
最後に
私にとって、シスコでのCCF改革は単に一つの取引を救うことだけではなかった。それは規模に応じたレジリエンスを設計することだった。フレームワークが生きたアーキテクチャになり、クラウド環境、サードパーティ、人的ワークフロー全体にわたって管理策を検証するとき、私たちは見出しにならない災害を防ぐことができる。静的なコンプライアンスから継続的なレジリエンスへの集団的シフトが必要である。コンプライアンスは事後にチェックするボックスではなく、イノベーションの基盤であるべきだ。
最終的に、コンプライアンスは要件を満たすこと以上のものである。それは組織のあらゆる層に信頼、説明責任、俊敏性を組み込むことである。ガバナンスを動的な能力と見なすリーダーは、監査に合格するだけでなく、危機が発生する前に防止することができる。
開示:これらの見解は私個人のものであり、シスコの公式見解を代表するものではない。
