Oktaのセキュリティ文化の育成
Jen Waughは、2024年5月にセキュリティ文化担当シニアディレクターとしてOktaに入社しました。Waughは、サイバーセキュリティ、ガバナンス、コンプライアンス、リーダーシップにわたる豊富な経験を活かして、Oktaがセキュリティ企業として成熟し続けるための原動力となるセキュリティ文化を創造し、醸成することを主たる職務として活動しています。 ここでは、企業文化を進化させると同時に、組織のアイデンティティに忠実であり続けるために何が必要かについて、Waughの考えを共有してもらいました。同様の取り組みを追求する他の組織のリーダーも、参考になる洞察を得られるでしょう。
セキュリティは常にOktaのアイデンティティの一部であり続けています。しかし、私たちのような企業とお客様の両者に対するサイバー脅威が進化したことを受け、若干異なる観点から社内のセキュリティを考えるようになりました。アイデンティティとセキュリティは切り離して考えることができないことから、私たちは社外の人々と同じように、Oktaを「世界をリードするセキュリティ企業」として見るようになりました。実際、セキュリティは当社の企業価値の1つであり、すべての従業員がOktaとお客様の安全を守る責任を負っています。
この責任を真剣に受け止め、アイデンティティ攻撃との闘いで業界をリードするための長期計画として2024年2月に発表したのが、Okta Secure Identity Commitmentです。
最終的に、この計画をはじめとする主要なセキュリティイニシアチブをいかに成功裏に実現できるかは、Okta自体にセキュリティ文化を醸成するという関連領域での進捗状況に大きく影響されます。
DNAを変える
Oktaが保有する機密データと社外から委託されたデータの両方を安全に保つためには、強力なセキュリティ文化という基盤が必要となります。
しかし、セキュリティの文化を醸成する(セキュリティが組織のDNAに組み込まれ、チームにとって当たり前のものになる)ことは、容易ではなく、自然に起こるものでもありません。変化が必要であり、その変化はしばしば計画的な混乱を伴います。
私は、これまでの経験や業界内のセキュリティリーダーとの会話を踏まえ、以下のポイントを念頭に置いて、このイニシアチブを開始しました。
- 強力なセキュリティ文化は、私たちが採用するツールやテクノロジーに関連しますが、それらとは別のものです。Oktaのテクノロジーチームと堅牢なサイバーオペレーションは世界トップクラスですが、文化は信念と行動に関するものです。
- セキュリティは、企業価値に織り込まれていなければなりません。Oktaは今年に入って、企業価値を更新し、「Always secure. Always on.」を打ち出しました。これは、すべての従業員がセキュリティに責任を持つという当社の継続的な取り組みを反映するものです。
- 強力なセキュリティ文化は、単に定義されたポリシーや手順にとどまるものではありません。Oktaのすべての従業員は、効果的なセキュリティを受け入れ、実践し、促進するために積極的な役割を果たし、文書化されたポリシーや標準にとどまらず、集団として防御に貢献することが求められます。
- 特効薬はなく、一時的な解決策には持続性がありません。「二速」のアプローチを活用することは有益ですが、場当たり的なサイクルに陥らないよう注意が必要です。また、ビジネスの本質的要素の相互作用を考慮して、俊敏なアプローチを設計することも重要です。
- 進歩は必要ですが、粘り強い取り組みが求められます。この活動に終着点はなく、ビジネス戦略、優先順位、脅威情勢の影響を受けつつ絶え間なく進化していきます。こうした要素を常に把握し、アプローチを継続的に適応させる必要があります。
これらのポイントに基づき、社内の他のリーダーと協力して、セキュリティ文化の基盤となる「セキュリティ文化の3本柱」を策定し、改良を重ね、推進してきました。
第1の柱:セキュリティの"理由"
哲学者のニーチェは、「生きる"理由"を持つ者は、ほとんどどんな"方法"でも耐えることができる」という有名な言葉を残しました。
言い換えると、物事の"理由"を理解すれば、それを成し遂げるために必要なことは何でも我慢できる(理想的には、熱心に支持する)ようになるということです。
Oktaにとってのセキュリティの"理由"は、セキュリティがなぜ重要かを説明するだけでは終わらず、セキュリティをコンテキストで捉え、各チームメンバーの個々の役割と責任に落とし込んで説明することに焦点を当てるものとなります。
まず、外部の脅威を明確かつデータに基づく方法で理解することから始めます。これは、漠然とした表現を避け、代わりに具体的に脅威情勢を把握することを意味します。Oktaはどのような攻撃に直面しているのか、業界内の他の企業はどのような攻撃に直面しているのか、将来の攻撃を形作る大きなトレンドはどのようなものかといった状況を評価します。
しかし、マーケティングの基本に当てはめて考えると、効果的なコミュニケーションを達成するには、ターゲットとなるオーディエンスを理解することが重要です。そのため、私はOkta社内の70人以上に個人的に聞き取り調査を行いました。こうして得られた多様な視点が、セキュリティ文化に対する当社のアプローチの形成に寄与しています。
さまざまな部門のチームと協力し、この「マーケットインテリジェンス」を活用して、組織全体でメッセージを調整できます。そのため、セキュリティイニシアチブの大局的な目標は明確で一貫していますが、日常業務で何が必要なのか、そして同様に重要なこととして、「なぜ必要なのか」を、各チームがそれぞれの状況に応じて理解できます。
リーダーシップとコミュニケーション
ビジネスの世界に目を向けると、大規模な取り組みの多くが失敗しています。これは、その背後にいる人々が、「物事を変えるためにはトップダウンのリーダーシップが必要だ」と考えているためです。
確かに、強力なリーダーシップ(特に模範を示すリーダーシップ)は必要であり、幸いOktaでもCEOがこのメッセージの支持者となっています。しかし、トップダウンのリーダーシップだけでは不十分であり、組織全体でメンバーが支持者となり、コミュニケーションがあらゆる方向に流れることで、イニシアチブが成功する可能性がはるかに高くなります。
私たちが目指しているのは、セキュリティイニシアチブとビジネス目標/目的との間の結びつきを明確にすることです。このため、SABSA(Sherwood Applied Business Security Architecture)フレームワークのビジネスセキュリティアーキテクチャコンポーネントに沿ったアプローチを採用し、その中でセキュリティが重要なビジネス推進力となっています。
たとえば、Oktaには、積極的なフィードバックとサポートのために、複数のコミュニケーションチャネルが用意されています。社内のチームは働き方に合わせたオプションを利用できます。また、アプローチは継続的に微調整されています。アプローチは多面的でなければならず、仮定を立てたり、仮定に頼ったりすべきでないことは、初日から明らかでした。幸いなことに、Oktaは大胆で建設的なフィードバックに重点を置いた組織です。
人々が関与できていると感じ、組織が自分たちの声に耳を傾けていると感じ、フィードバックに基づいて調整が行われるのを目の当たりにし、自分たちが伝えているメッセージをリーダーが具現化しているのを認識することで、真の文化的な変化が起こる条件が整います。
第2の柱:セキュリティ人材
セキュリティ人材とは、(ご想像のとおり)Oktaの社員を指します。
当社のセキュリティ人材の柱は、測定可能であるように設計されています。また、私の個人的な見解では、これが当社の成功の中心であり、今後も中心であり続けるでしょう。
従業員のライフサイクル
セキュリティの観点から見ると、従業員のライフサイクルの開始点は職務の空席が生じた瞬間です。幸い、Oktaの従業員のライフサイクルは堅固なベースラインから始まります。
私たちのアプローチは2つあります。
- まず、Oktaで働くすべての人のセキュリティに対する責務と説明責任を強化するという観点から考えます。
- 次に、関連する脅威に対する観点で考えます。
私たちの業界は、こうした脅威に日々直面しており、油断からリスクが生じることもあります。
Oktaは脅威ベースのアプローチを採用しており、そのプロセスは概念的には非常にシンプルですが、Oktaのような大規模な組織では、詳細を正しく把握することは現実には非常に困難です。そのため、私のチームとPeople and Places(人材活用)グループとの連携が大きな助けになっています。このパートナーシップにより、大規模でグローバルな従業員を抱える組織での課題に優先順位を付け、解決できるようになります。
グローバル人材ネットワーク
多方向のコミュニケーションの必要性について前述しましたが、それに貢献するもう1つの方法は、OktaのGlobal People Network(グローバル人材ネットワーク)の活用です。
基本的に、これらはOkta内の多くの部門から集まった代表のグループです。これらのグループと話し、グループから学び、さまざまな試みや試みの案についてグループの意見を聞きます。こうした会話は、問題(組織全体に関する構造的な問題も、局所的な問題も)を認識し、取り組みに優先順位を付ける上で役立ちます。
現在、パイロットプログラムの成功を受けて、世界中に地域グループを設立しています。このパイロットグループには、当社のセキュリティ文化に参加し、関与したいという従業員の意欲が表れています。Oktaの「Build It, Own It」(作ったものに責任を持つ)という価値観の背後にある熱意を感じることができます。
フォーラムのメンバーは、自分たちがセキュリティ文化を定義し、貢献するというソリューションで重要な役割を担っていること、そして自分たちの洞察が全社的な活動を形作っていることを理解し、評価しています。
Oktaには、セキュリティ教育チームが主導する定評のあるSecurity Champion Networkもあります。Global People NetworkはOktaの全員を含むように設計されたものですが、Security Champion Networkはテクノロジーと製品のセキュリティに重点を置くものとなっています。
組み込まれたセキュリティチーム
同僚のCharlotte Wylie(Okta SVP兼副CSO)の指揮下に、セキュリティ教育チームがあります。このチームは主に、安全なソフトウェア開発ライフサイクルの一部として、安全なコーディングや開発のプラクティスなどについて、開発者やエンジニアリング担当者に継続的な教育を提供しています。
セキュリティ教育チームのメンバーは、エンジニアリング組織全体に組み込まれ、日頃から開発者やコーダーと一緒に働いています。
こうした体制には、いくつかの理由から重要な意味があります。
第一に、セキュリティのベストプラクティスに関して期待される規範を促進します。文化的な観点からは、これは大きな成果です。
第二に、セキュリティが最優先され、現在のベストプラクティスだけでなく、期待される行動も促進されます。
第三に、セキュリティは非常に詳細で変化し続けるトピックであるため、これらの変化に後れをとることなく追随することを、すべての開発者やエンジニアに期待するのは、率直に言って非現実的です。セキュリティ教育チームのメンバーと日常的につながりを持つことで、開発者全体の効率を高めながら、全員の知識を徐々にレベルアップさせることができます。
第3の柱:Security Pulse
Security Pulseは、データに基づく方法でセキュリティ目標の達成を目指す取り組みです。
進捗を数値やパーセンテージ、トレンドといった客観的なデータで測定し、改善すべき点や成功している点を把握し、持続可能で再現性のある成果を実現します。
進捗と忍耐のバランスが必要だと述べましたが、個人的に、私にとっては忍耐の難しさを実感しています。目標に向かって改善が必要な部分を認識すると、早く達成したいという焦りを感じます。非常に高いハードルを克服しなければなりません。
したがって、進捗状況を測定できることは組織にとって素晴らしいことですが、測定基準を使用することで、私たちが達成したこと、そして組織として前進していることを常に思い出すことができます。
NIST CSF 2.0
私たちは最初に、Oktaのセキュリティ態勢の現状をより深く理解し、進捗状況を追跡するため、米国国立標準技術研究所(NIST)のCybersecurity Framework 2.0(CSF 2.0)に対応するシンプルなフレームワークの構築に時間を費やしました。更新されたNISTフレームワークのCSF 2.0では、特に6番目の柱としてガバナンスが追加された点を歓迎しています。このアプローチを活用することで、当社のセキュリティ文化を他のOktaセキュリティイニシアチブや業界全体と整合させることができます。
最後に
Oktaのビジョンは、すべての人があらゆるテクノロジーを安全に使えるようにすることです。
私たちは企業として、そのビジョンを実現するには、シンプルで安全なアクセスを全世界の人と組織に提供する安全な製品を構築する必要があることを認識しています。
また、当社が保有するデータ(自社およびお客様やパートナーのデータ)と製品の重要性が、サイバー攻撃者の標的になっていることも認識しています。
セキュリティ文化を構築することは、組織全体をレベルアップする方法であり、その影響は、より安全な製品でより安全なコードをより効率的に開発することから、私たちが日々直面する攻撃に対するレジリエンスの向上まで、広範囲に及びます。
Oktaと共に前進しましょう
しかし、セキュリティ文化の構築は一夜で完了するプロジェクトではなく、「設定して忘れる」ことができる一度きりのタスクでもありません。むしろ、長期的で継続的なプロセスであり、集団的な変化と協調的な努力が必要です。
Oktaのアプローチと経験を、できるだけ透明性を持って共有してきました。これが、皆様の組織でのセキュリティを前進させるお役に立てれば幸いです。
今日の組織が直面しているリスクは、無視できないほど大きく、テクノロジーだけでは対処できません。
そして、この取り組みを共に進め、アイデアや洞察、成功と失敗、課題と解決策を交換し合うことで、集団としての進歩を実現できると信じています。
結局のところ、サイバー犯罪との戦いに関しては、私たちは皆、防御側に位置しているのです。
アイデンティティベース攻撃へのOktaの対応について、詳しくはこちらをご覧ください。