元CTOとして、データ駆動型の製品をオンラインで提供するには統合が不可欠であることを知っています。グローバル通信ネットワーク、応募者追跡システム、クラウドベースのインフラストラクチャと統合されたトランザクションデータシステムを設計してきました。強力な統合を実現することは難しくありません。異なる2つのシステム間で共有したいデータを特定するのは簡単です。
しかし、統合には、あらゆる製品機能や技術革新に必要となるのと同じ一連の落とし穴があり、1 つの大きな欠点があります。それは、要件の少なくとも半分は、ユーザーや、ユーザーのユースケース、またはユーザーの組織の目標を考慮して設計されたことがないということです。
ベンダー、テクノロジー、そしてビジネス全体の複雑な関係性により、統合は容易ではありません。また、潜在的なソリューションも非常に脆弱になります。もしあなたが解決しようとしている問題が、売上向上のためのSOC 2監査やISO 27001認証取得である場合、統合によって監査合格が早まることはありません。むしろ、取得が困難になる方がはるかに困難です。
解決しようとしている問題
SOC 2やISO 27001のようなセキュリティ標準が広く公開される以前は、セキュリティ業務の多くは、取締役会、人事、情報技術といった特定の業務機能にサイロ化されていました。各部門は、リーダーの専門知識に基づいてベストプラクティスを策定していました。購入者が質問することはほとんどありませんでした。
検証済みのテストまたは監査手法を備えた公開された標準規格を持つことは、組織全体の成熟度を示す重要な新たなシグナルとなります。購入者は特定の資格を証明し、認証取得のために独立した評価の実施を企業に要求することができます。ベンダーの数と種類が増えるにつれて、購入者はセキュリティ状況を分析するための効率的なツールをますます多く見つけるようになっています。
解決しようとしている問題が認証による信頼である場合、技術的な統合によってコンプライアンスが加速されますか?
統合はコンプライアンスを阻害し、リスクを増大させる
SOC 2、ISO 27001、HIPAA、さらにはCMMCといったコンプライアンス要件は一切なく、コンプライアンス達成に統合を必要とするセキュリティ標準も公開されていません。PCI-DSS、GDPR、CCPAといった一般的な標準でさえ、統合、エージェントの導入、エンタープライズテクノロジーの導入なしに達成可能です。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
これは、すべてのセキュリティ標準が特定のテクノロジー、人材、またはプロセスを必要としないように設計されているためです。ISO 27001などの標準の作成者は、各企業がますます独自性を持つようになっていることを認識しています。例えば、オンプレミスまたはプライベートクラウドの導入モデルを提供する企業は、監査中にSOC 2セキュリティ標準の監視部分に準拠する必要がない可能性が高いです。顧客向けのソフトウェアなどの知的財産を開発するサービス組織は、ISO 27001およびSOC 2セキュリティの変更管理部分に準拠する必要がない可能性が高いです。
全組織の変更管理やエンドポイント監視への統合は、まさにセキュリティシアターの典型です。監査人が要求していないだけでなく、仮にこれらのセキュリティ対策を実装したとしても、実際にはセキュリティ強化にはつながりません。優秀なエンジニアリングチームは、リスクをゼロにするために、複数のクラウド統合を実装・サポートしなければなりません。
最後に、実際にそれらの統制について監査を受けた場合、監査人が統制設計に重大な欠陥があると報告することがありますが、これはそもそも必要ではなかったため、適切に運用されていなかったことになります。
範囲 = コストまたは時間(あるいはその両方)
他のプロジェクトと同様に、デリバリーを加速させる最善の方法は、スコープを縮小することです。製品チームと技術チームは、「最小限の実行可能な」ソリューションを見つけるために、膨大な時間を費やしています。解決しようとしている問題に集中することで、新機能の開発に伴う時間、費用、そして混乱を最小限に抑えることができます。
セキュリティ体制を構築する際には、適切な設計が重要です。エンジニアが機能を開発するために技術設計を必要とするのと同様に、組織はビジネスに適したセキュリティ体制を設計する必要があります。まずはシンプルなリスク分析から始めることで、組織にとっての主要なセキュリティ上の懸念事項を特定できます。
わずか数時間で、当初のコンプライアンス目標を数か月短縮し、組織の変更要件を大幅に削減できます。組織のリスクを軽減するセキュリティ管理策の初期セットについて合意すれば、それらの管理策の実装を容易に展開できます。
「常時遵守」は必要でしょうか?
組織が実装した効果的な管理策を特定したら、次に、それらの管理策が効果的に実装されていることを検証または評価する方法を特定します。セキュリティ管理策の独立した認証または監査の準備が目標である場合は、各管理策が効果的に設計および運用されていることを示す証拠を収集する必要があります。証拠収集は継続的なプロセスですが、常に行われるわけではありません。
私たちのインフラ、ノートパソコン、モバイルデバイスがサードパーティベンダーと常にデータを共有する必要があるという考えには衝撃を受けています。「継続的なコンプライアンス」とは、私が管理する最も脆弱な資産を常に通信にさらすことを要求しているように思えます。
100社の一般的なSOC 2エビデンス(上記参照)を分析したところ、60日未満で有効期限が切れるエビデンスはないことがわかりました。平均的なエビデンスの有効期限は6ヶ月です。6ヶ月ごとにIAMポリシーの簡単なスクリーンショットを撮るだけで認証を取得できるとなると、統合にかかる労力を正当化するのは困難です。
「継続的なコンプライアンス」は既存のソリューションとは重複するものであり、すぐに利用可能で、はるかに安全です。最近、AWSでホストされているアプリケーションにサードパーティ製のエンドポイント保護ツールを導入することを検討していたCTOと面談しました。5分以内に、エンドポイント保護はSOC 2の要件ではないことがわかりました。代わりに、AWSサブスクリプションに含まれているAWSエンドポイントモニタリング(サイト、APIエンドポイント、ウェブワークフローを監視するCloudWatch Synthetic)で十分でした。最終的に、クラウド環境内にサードパーティのエージェントを展開して「継続的なコンプライアンス」を維持する必要はなく、四半期ごとのレビューとスクリーンショットだけで、監査担当者はSOC 2 Type II監査のクリア要件を満たすことができました。
有用な統合を特定する
統合を実施する最適なタイミングは、それが有用であると確信できた時です。組織の管理策を設計し、効果的なセキュリティ対策のスコープを決定した後、それらを快適に運用できることを確認してください。組織変更の展開時には、合意済みの管理策に微調整が行われる可能性があります。これにより、必要な証拠の種類や収集頻度が大幅に変化する可能性があります。統合を検討する前に、自動化する価値のある貴重なデータセットが、合意済みの場所に存在することを確認することをお勧めします。
このアプローチを採用することで、テクノロジーで解決できる問題を特定できます。例えば、私たちのチームはクラウドデプロイメントテクノロジー(Infrastructure-as-Code)を活用し、主要なクラウドコンピューティングプロバイダー間で標準化された膨大なクラウド構成データを公開しています。これは、証拠収集のための貴重な自動化です。
重要なセキュリティの実行
テクノロジーを活用して効率性の問題を解決するのは、監査を受ける前ではなく、監査を受けた後です。これらの基準は、お客様固有の状況を考慮して設計されています。セキュリティ対策を運用し、検証のベストプラクティスを理解した後は、統合と自動化を検討する時期です。
テクノロジーリーダーにとって、時間は貴重です。セキュリティ監査の実施は収益成長の加速に大きく貢献する一方で、製品イノベーションに費やす時間を奪います。統合、新規ベンダー、セキュリティ対策などでテクノロジーインフラに過度の負担をかけると、チームの効率性は低下するばかりです。
重要なコントロールを特定し、効率的かつ効果的なセキュリティ対策を設計することに注力してください。まずは効果的な運用を測定することで、セキュリティ対策の設計を検証してください。最初のセキュリティ監査または認証を取得したら、セキュリティ対策の効率性と効果をさらに高めるために、どのような自動化が必要かを特定してください。
