theNet by CLOUDFLARE

コンプライアンスを心配するのをやめ、愛するようになった経緯

今日の世界では、コンプライアンスは不可欠です。信頼を維持し、企業の評判を向上させることが言うまでもなく必要不可欠なことであり、サイバーセキュリティ基準と密接に結び付いています。しかし、コンプライアンスは、おそらくすべての経験において、簡単に構築・維持できるものではありません。セキュリティリーダーとして、私たちは、拡大していく規制、法律、基準に準拠する方法を知る必要がありますが、そのほとんどが首尾一貫していないと感じています。この複雑さは、コンプライアンスを達成、維持、証明することを困難と感じさせるものでもあります。

Cloudflareでは、コンプライアンス要件の理解、適切なセキュリティプロセスとコントロールの実施、環境の変化の監視、そしてコンプライアンスを実証する評価の実施に多大なリソースを投入しています。私のキャリアの初期において、このような取り組みを、負担すべき税金のようなものと見なしていました。しかし、20年のサイバーセキュリティ業界での取り組みを通じて、私はようやく心配することをやめ、コンプライアンスを愛するようになりました。これは、コミュニティとして成し遂げられることであり、何かを奪い去るものではないのです。

画像出典Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb

結果に基づくセキュリティへのアプローチとコンプライアンスの一体化

サイバーセキュリティの脅威の大きさを長年把握してこなかったことが、根本的に安全でない技術への依存を常態にする世界をもたらしました。あまりにも長い間、スピードとコストが、セキュリティとプライバシーの価値を上回っていました。これは、ポリシーの失敗、マネジメントの失敗、能力の不足、そして何よりも想像力の不足を意味します。

国防総省と国家安全保障局の中で、私たちは多くの「任務」に焦点を当てました。それは、多くの場合、重大な問題を解決するための成果に基づくアプローチです。これは、多くの攻撃を前にして、コンプライアンスを無視するという誤った認識を生じさせます。私の経験上、これは事実ではありません。成果とコンプライアンスは、常に相互に関連するものであり、より良い考え方とより多くの創造性だけでなく、運用リスクの軽減にもつながるものでした。

Cloudflareをはじめとするサイバーセキュリティリーダーは、セキュリティを強化し、信頼を構築し、新たな関係を築くための基本的な出発点として、ポリシーと戦略を整合させる責任を負います。このアプローチをとれば、ユーザーデータの保護、知的財産の保護、金銭的窃盗の回避、そして場合によっては物理的損害の回避といった問題にミッション指向のソリューションを適用することができます。

セキュリティ強化のためのコンプライアンスの構築

信頼を築くのは難しく、失うのはたやすいものです。規制を遵守しないと、罰金を科されるだけでなく、お客様やパートナーの信頼や信用を失うことにもなりかねません。

We all know that compliance requirements often create box-checking exercises instead of operational risk reduction. For this reason, I see the practice of cyber security within highly regulated—and highly targeted—fields such as healthcare, financial services, and national security as a strong blueprint for all of us. In these fields, organizations do more than checking boxes: they voluntarily hold themselves to even higher standards than regulations require.

Our security work begins when we meet standards. As a tool, compliance allows us to express our work, look around and see who we can trust, and begin to tackle the hard work of eliminating threats. We often hear that a SOC report or ISO certification should stop breaches, but breaches still happen. Why? The answer is that compliance with frameworks and standards is just a way for us to recognize when something is amiss sooner. It'll never be a way for companies or teams to prevent incidents and exposure. That requires an even more comprehensive approach to cyber security, one based in technical controls.

Cloudflareでは、重要な規制・基準を遵守し、多くの重要な認証を取得しています。私たちはコンプライアンスを、それが生み出す機会のために積極的に受け入れています。しかし、私たちはここで止まりません。私たちは、より良く、より安全なインターネットを構築するという自社の使命に重点を置き続けています。ビジネス、当社パートナー、そしてお客様の安全を守る高度なセキュリティ機能を実装することで、コンプライアンスの先に進むのです。Cloudflareは、お客様とその顧客の皆さまに、より安全なインターネット環境をご提供するために構築されました。安全を確保するために役立つ認定について詳しくご覧ください

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

著者

Oren Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare



記事の要点

この記事を読めば、以下が理解できます。

  • コンプライアンスを成功要因と見なし、負担と見なさない方法

  • フレームワークと基準は、インシデントや脅威にさらされるリスクを絶対的に排除するものではない

  • 基本的なコンプライアンスを超えた高度なセキュリティの実装により、ビジネス、パートナー、顧客の安全を確保できる


本シリーズのその他の記事

大人気のインターネット関連インサイトの要約を毎月お届けします。