ESO の転写者、翻訳者など。
Transcription by ESO、Translation by — 今日は恥ずかしい話題について話します。
これは私たちの多くに起こったことであり、恥ずかしいことですが、話さなければ何も変わりません。
ハッキングされることについてです。
フィッシング リンクをクリックしてコンピュータ ウイルスをダウンロードした人もいます。
私たちの中には、アイデンティティを盗まれた人もいます。
そして、ソフトウェア開発者である私たちも、気付かないうちにセキュリティ バグを含む安全でないコードを書いている可能性があります。
サイバーセキュリティの専門家として、私は数え切れないほどの企業と協力してサイバーセキュリティの向上に取り組んできました。
私のようなサイバーセキュリティの専門家は、サイバーセキュリティの適切な実践、監視ツール、適切なユーザー行動について企業にアドバイスしてきました。
しかし、実際には、どのツールでも解決できない、さらに大きな問題があると感じています。
私たちが犯す間違いに伴う恥。
私たちは自分たちが有能でテクノロジーに精通していると考えたいと考えています。
そして、私たちがこれらの間違いを犯すと、私たちと私たちの会社に非常に悪い影響を与える可能性があります。
単純な煩わしさから、修正に時間がかかるもの、私たちと雇用主に多額の費用がかかるものまで、あらゆるものです。
企業がサイバーセキュリティに何十億ドルも費やしているにもかかわらず、私のような専門家は同じ問題を何度も繰り返し見ています。
いくつか例を挙げてみましょう。
2015 年にウクライナの電力会社がハッキングされ、22 万 5,000 の顧客の電力が切断され、完全な運用に戻るまでに数か月かかった事件は、フィッシング リンクから始まりました。
ちなみに顧客数225,000人というのは225,000人よりもはるかに多いです。
顧客は、アパートの建物から産業施設、ショッピング モールまでさまざまです。
2017 年の Equifax のデータ侵害では、1 億 4,000 万人の個人情報が流出し、最終的に Equifax に 1 ドル程度の損害が発生する可能性があります。
40億ドル。
これは、同社の顧客消費者向け苦情ポータルの既知の脆弱性が悪用されたことが原因でした。
基本的に、これはテクノロジーとイノベーションに関するものです。
イノベーションは良いことです。
それは私たちの生活をより良くします。
私たちが今日運転している現代の自動車のほとんどは、基本的に車輪に取り付けられたコンピューターです。
彼らは、渋滞を避けるためにどこに行けばよいのか、メンテナンスのためにいつ車を受け入れるべきかを教えてくれて、現代のあらゆる種類の便利さを私たちに与えてくれます。
多くの人が、ペースメーカーやインスリン ポンプ付き血糖値モニターなどの接続された医療機器を使用しています。
これらのデバイスは、これらの人々の生活を改善し、場合によっては寿命を延ばすことさえあります。
しかし、相互接続できるものはすべて、接続されるとハッキングされる可能性があります。
元米国副大統領ディック・チェイニーが、心臓移植を受ける前にペースメーカーを Wi-Fi から切り離しておいたことをご存知ですか?
その理由を説明します。
デジタルで相互接続された世界では、サイバーリスクは文字通りあらゆる場所に存在します。
何年もの間、同僚と私はサイバーセキュリティ文化というとらえどころのない概念について話してきました。
サイバーセキュリティ文化とは、組織内の全員がサイバーセキュリティが自分の仕事であると信じ、何をすべきか、何をすべきではないかを理解し、正しい行動を行う文化です。
残念ながら、どの企業がこれをうまくやっているのかを言うことはできません。そうすることで、野心的な攻撃者にとって魅力的なターゲットを背負うことになるからです。
しかし、私にできることは、サイバーセキュリティの謎を薄め、それを白日の下にさらし、それについて話すことです。
組織内に謎や秘密があってはなりません。
何かが目に見えず、それが機能しているとき、トイレットペーパーと同じように、それがそこにない限り、それがそこにあることはわかりません。
新型コロナウイルス感染症(COVID-19)のパンデミックが始まったとき、どこにもそれを見つけることができなかったため、それまで存在していたものが突然非常に重要なものになりました。
サイバーセキュリティもまさにそれと同じです。
それが機能しているときは、私たちは知りませんし、気にしません。
しかし、それがうまくいかないときは、本当に悪いことになる可能性があります。
トイレットペーパーは非常に簡単です。
サイバーセキュリティは神秘的かつ複雑です。
そして実際、それは心理的安全性の概念から始まると思います。
この概念は、組織行動科学者のエイミー エドモンドソンによって広められました。
エイミーは、病院のような、ミスが致命的になる可能性がある一か八かの状況における医療チームの行動を研究しました。
そして、看護師たちは権威に疑問を抱くことを恐れて、医師に提案を持ち出すことに抵抗を感じていることにも気づきました。
エイミーは、看護師が叱られたり卑下されることを恐れることなく、患者の治療について医師に提案をより気軽に提案できるよう、医療チームの改善に貢献しました。
そのためには、医師は判断することなく、話を聞き、受け入れる必要がありました。
心理的安全性とは、誰もが安心して発言したり指摘したりできる状態のことです。
サイバーセキュリティも同じであってほしいと思っています。
そして、サイバーセキュリティの専門家が、恐怖やエラーについて話し続けてノーと言う人たちとして無視されることなく、上級幹部やソフトウェア開発者に遠慮なく提案を持ち込んでほしいと思っています。
そうしないことは、デジタル製品の作成に責任を負う個人にとって非常に困難です。なぜなら、基本的に、それは自分の作品に対する誇りと喜びに関わるからです。
私はかつてソフトウェア開発の上級幹部とセキュリティを強化する必要性について話してみたことがあります。
彼が何と言ったか知っていますか?
私たちが安全でないコードを開発しているとでも言うのでしょうか?
言い換えれば、あなたが聞いたのは、あなたの赤ちゃんは醜いということです。
やらないことに焦点を当てるのではなく、何をすべきかに焦点を当てたらどうなるでしょうか?
たとえば、より優れたソフトウェアを開発し、同時に顧客情報を保護するにはどうすればよいでしょうか?
あるいは、危機、攻撃、緊急時に組織が確実に運営できるようにするにはどうすればよいでしょうか?
そして、セキュリティ インシデントの報告、フィッシングメールの可能性の報告、開発したソフトウェアのソフトウェア セキュリティ バグの発見と修正など、サイバーセキュリティ分野で人々が行った良い行いに何らかの形で報い、そうするよう奨励したらどうなるでしょうか?
そして、これらの優れたセキュリティ対策とパフォーマンス評価を結び付けて、それを本当に重要なものにしたらどうなるでしょうか?
私は、これらの優れたサイバーセキュリティについて伝え、ニュースレター、ブログ、Web サイト、マイクロサイトなど、組織に伝達するために使用するものであれば何でも、何らかの形で全社的なコミュニケーションの中でそれらを奨励していきたいと考えています。
ある企業が、2 週間の開発スプリントで誰が最も多くのセキュリティ バグを見つけて修正するかを競うコンテストを発表し、その後、大企業の仮想タウンホールでその四半期のコンテストの勝者を発表し、その勝者に報酬を与えたらどうなるでしょうか。 1週間の休暇やボーナスなど、何か意味のあるものはありますか?
他の人もこの祝賀と表彰を見て、同じことをしたいと思うでしょう。
エネルギー業界には、非常に強力な安全文化があります。
人々はこの文化を気にかけ、誇りに思っており、誰も傷つけないようにこの文化を集団的に強化しています。
この安全意識の文化を示し、継続していく方法の 1 つは、最後の安全事故からの日数を数え、目に見える形で表示することです。
そして、そのカウントがゼロに戻らないように皆が懸命に働きます。それは誰かが怪我をしたことを意味するからです。
サイバーセキュリティは安全性と同じです。
前回のサイバーセキュリティインシデントからの日数を永久に継続することに全員が同意し、それがゼロにリセットされないように懸命に努力したらどうなるでしょうか?
そして、特定のことは禁止されており、人々がそれを確実に覚えられるように、ゲーミフィケーションやシミュレーションなど、理解しやすく、場合によっては楽しい方法で、それが何であるかを組織に明確に伝える必要があります。
そして、誰かがしてはいけないことをした場合、何らかの結果に直面するはずです。
したがって、たとえば従業員が Amazon や eBay で機器を購入したり、会社の業務のために個人の Dropbox を使用したりした場合、何らかの結果に直面するはずです。
そして、これが起こった場合、幹部は一般従業員と同じ待遇を受ける必要があります。そうしないと、人々はそれが現実であると信じず、以前の行動に戻ってしまうからです。
間違いについて話すのは問題ありませんが、ルールに違反したティーンエイジャーがそれについて私たちに話すのと同じように、彼らがそれについて私たちに話してくれたことには感謝しますが、それでも何らかの結果が生じるはずです。
サイバーセキュリティは旅です。
それは目的地ではないので、私たちはそれに取り組み続ける必要があります。
サイバーセキュリティの人々を英雄のように称賛してほしいと願っています。
考えてみると、彼らは消防士、救急治療室の医師や看護師、法執行機関、リスク管理者、ビジネス戦略家であり、すべて同じペルソナです。
そして、それらは私たちが大好きな現代の生活を守るのにも役立ちます。
これらは私たちのアイデンティティ、発明、知的財産、送電網、医療機器、コネクテッドカー、その他無数のものを保護します。
そして私もそのチームに加わりたいです。
したがって、この問題が私たちとともに存続することに同意し、間違いから学び、状況をより良くするためにコミットする安全な環境を作りましょう。
コメント