セキュリティを文化として築く新しい考え方

セキュリティは、安全対策のチェックリストと誤解されることがよくあります。 MailMateでは、それを異なる視点で捉えています。セキュリティはチームの文化と哲学から始まります。

当社では、セキュリティを一連のプロセスと対策として捉えるのではなく、セキュリティの文化を採用しています。

組織と個人の良好な習慣は重要ですが、新たな脅威やセキュリティ リスクが出現したときに情報に基づいた意思決定を下す能力も重要です。 テクノロジーは常に進化しており、私たちはテクノロジーとともに進化できる必要があります。 これに対する答えは、当社の企業文化全体においてセキュリティを最優先にすることです。

1) コミュニケーションの重要性

私たちにとって、最初のステップは、それを議論のテーマにすることです。 

誰かがチームに加わったら、初日のトレーニング中に会話をするなど、セキュリティを最優先に考えています。

• これまでにサイバーセキュリティのトレーニングを受けたことがありますか？

• プライバシー保護についてはどう考えていますか？

優れたセキュリティと優れたプライバシーは、それについて話すことから始まります。ビジネス プロセスは、何かが起こるまで変更されずに根付いてしまうことがよくあります。 

セキュリティの場合、それは侵害であり、その時には手遅れです。

2) 習慣化をする

意識を確実に高めた後は、良い習慣を身につけることが重要です。 これらの習慣はチームの文化の一部となり、運営に組み込まれる必要があります。 

適切に実行されると、運用側はこれらの習慣を強化し、企業文化が絶えず変化するセキュリティ環境を改善し、先を行く方法を継続的に模索します。施策や会社の方針の背後にある意図を全員が理解すればするほど、具体的な施策だけでなく、実際の意図をより適切に適用して実行できるようになります。 

私たちは、大規模な上場企業との協力の中で、規制上の誤りに対する恐怖がチェックボックス（うわべの知識）の精神、つまり目的を完全に理解せずにルールに従うという考え方にどのようにつながるかを目の当たりにしました。 特定の要件が存在する理由を理解していないために、組織の業務が異常なほど遅くなり、企業が必ずしも適用できるとは限らない要件を販売員から求めていることがわかります。 

すべての要件が満たされている場合でも、意図がまだ満たされているかどうかを判断する必要があるため、意図を理解することが重要です。

3) わかりやすい基準を採用する

セキュリティの実装に関して私たちが行った戦術的な決定は、人々が理解できる方法で表現された標準を採用することです。私たちは、明確な意図を簡単な言葉で表現することから始めます。 

このような基準を構築すると、ほとんどのセキュリティに関する枠組みが成功事例に対応するか、少なくとも、必要なときに最適な方法をより早く更新できることがわかります。最近、Pマーク認証を受けました。

しかし私たちはPマークの求める、個人情報保護規定の設定、トレーニング、利用規約など、ボックスにチェックを入れることに重点を置いた準備プロセスを策定して満足するのではなく、チーム、業界、規模に合わせて、独自のマニュアル、トレーニング、プライバシー関連の業務を作成し、調整が必要であると感じています。

正しく行うことは、セキュリティだけでなく効率性も向上します。つまり、正しく行うことは、リスクの軽減を超えて実際にビジネスに良い影響を及ぼします。 もう 1 つの過小評価されている利点は、チームメイトが顧客と協力する際に​​意図を明確に表現できることです。

これは、単にセキュリティ ページに認定の承認を掲載するだけでなく、信頼を築く上で非常に役立ちます。

4) MailMate とセキュリティ

MailMate では、セキュリティに重点を置く定期的なペースを採用しています。

私たちは週に一度、主要なチームメイトを集めて、どのような変更を加え、採用する必要があるかについて有意義な会話をしています。

• 脅威環境に何か新しいことはありますか？

• より深く理解するために私たちがすべきことや、確認すべき認定はありますか？

これは特別に切り開かれた時代であるため、私たちはフレームワークを採用し、変化を取り入れます。侵害、ハッキング、プライバシーに関する事故を調査し、同様の状況で組織がどのように行動したかをマッピングします。予防の鍵となるのは意識です。ディープフェイクの台頭など、新たな脅威を発見すると、チーム全体と共有して全員に情報を提供します。

社内の専門知識

当社には、サイバー セキュリティ修士号取得者に加えて、2 人の認定 CISSP と CREST 認定セキュリティ アナリストおよびペネトレーション テスターを含む、セキュリティのバックグラウンドを持つチーム メンバーがいます。 

これにより、私たちは単に要件を読み取るのではなく、セキュリティに真に取り組む立場に立つことができます。すべてのチームがこの専門知識にアクセスできるわけではないため、シンプルな作業から始めて、わかりやすい専門用語で作業することがさらに重要になります。プライバシーをセキュリティ慣行に組み込むことが不可欠です。

今日、セキュリティとプライバシーは、法的、運用、技術などのさまざまな領域にまたがって絡み合っています。 

詳細については、当社のセキュリティ資料をダウンロードするか、当社のチーム (security@mailmate.jp) までお問い合わせください。