編集者による注: 情報システムのエコシステムは常に進化しています。悪意のある人は必ずいるものなので、組織は、信頼しているデータがサービスとしてのソフトウェア (SaaS) プラットフォームで保護されていると知っておくことが極めて重要です。この記事では、Smartsheet の情報セキュリティ担当 VP (CISO) である クリス・ピーク (Chris Peake) が、作業を管理するためにエンタープライズ級のプラットフォームを必要とするお客様からの信頼を構築、維持するためにはセキュリティ対策にまつわる透明性が重要である理由を共有します。
1997 年に大学を卒業した後、私は世界中で口唇口蓋裂手術を手助けする非営利組織 Operation Smile (オペレーション スマイル) で、医療伝道コーディネーターとして働き始めました。ほとんどの非営利組織には十分な予算がないので、私は組織で IT に焦点を当てた仕事も行っていました。データベースを構築し、システムを保守し、そういったすべての使い方をスタッフに教えました。
Operation Smile (オペレーション スマイル) の遠隔医療に関する初期イベントについても実装の一部を支援して、診察や手術中継を行うためにさまざまな国をまたいで医師をつなぎました。これらのイベントはテクノロジーの素晴らしい力を示すものでした。さらに振り返ってみると、セキュリティ専門家がテクノロジーの力を使って、人、特に個人情報や機密情報を保護することの重要性を示すものでもありました。
自分のキャリアを通して、1 つはっきりしていることがあります。セキュリティ リーダーとセキュリティ チームは全力で卓越したカスタマー エクスペリエンスに取り組まなければいけません。この顧客中心の考え方は、データ プライバシーの確約、人々からの信頼の獲得と維持、セキュリティ テストに関する透明性、幅広い情報セキュリティ コミュニティとの関与によって促進する必要があります。
データ保護の進化
何年もの調査と実務経験から、顧客データを扱う場合は透明性がなければ信頼は得られないということがわかりました。例えば、1990 年代中頃にオンライン銀行が普及する前は、多くの人々が従来型の銀行業務からの移行を疑わしく思っていました。昔は、実際に地方支店に行って、預金伝票を記入して、銀行の窓口係のところでまたは ATM で取引を行い、それから他のことをしていたものでした。
これをオンライン取引に替えるために、銀行は顧客に対し、取引は安全で、保護されており、自宅のコンピューターから簡単に追跡できるということを保証する (保証し直す) 必要がありました。同様に、SaaS プラットフォームを採用する場合は、システムとデータについての重大な責任をプロバイダーに引き渡します。
プラットフォームを使用して作業を管理するエンタープライズレベルの組織は、プロバイダーのデータ保護が信頼できるものであることを知っておく必要があります。セキュリティ専門家として、保護とは、顧客が SaaS プラットフォームに追加するデータの詳細を見ないことも意味します。
顧客からの信頼の獲得と維持
Smartsheet では、顧客の信頼を得て、それを維持することに力を注いでいます。この継続的な献身の一部として、エンタープライズ級のセキュリティ プログラムを進化させ続けます。エンタープライズのセキュリティ基準を満たし、超えることで、Smartsheet がデータ セキュリティ、プライバシー、ガバナンスを「完全に請け負う」ことを保証します。
長期的な目標は、データは必要とされるあらゆる方法で保護されているという自信を持ちながら、顧客がさまざまな機密データを扱えるようにすることで、Smartsheet の可能性を解き放つことです。
コンプライアンス認証、プライバシーおよびセキュリティ情報、および企業の Web サイトで利用できないものを設定するのは、素晴らしい出発点であると同時に当たり前のことです。これが Smartsheet Trust Center を構築した理由です。
ただし、セキュリティ専門家が顧客と直接話をする場合には、情報セキュリティの見地から、企業の標準プロセスと運用手順、整っている制御と整っていない制御についてより詳細に掘り下げ、弊社のサービスに向いているユース ケースと向いていないサービスについて忌憚なく話すことができます。私の経験では、これだけ率直に話をすることで顧客と相互の信頼関係が築けるのです。これが長く続くパートナーシップの基礎です。
信頼を築くための 2 つ目は、セキュリティ プログラムの改善に向けて、私たちが終わりのない努力をしていることに気付いてもらうことです。私の見解では、成熟の過程にはゴールがありません。セキュリティ脅威が変わり続ける状況に合わせて、常に進化しているのです。チームは常に、Smartsheet プラットフォームの安全性を維持する最新のテクノロジーを利用しながら、製品およびセキュリティ制御を改善する方法を革新しています。
セキュリティ テストに関する透明性
透明性は双方向の関係です。私たちは顧客と会話を続けて要件とニーズを把握し、それを心に留め、それについての何かをしたいと考えます。顧客は、データはプラットフォームでは安全であり、私たちがそういったデータや情報を共有できないことを確信しています。
以前、セキュリティ専門家に向けて話をしたときに、クラウドベースのサービスを使ったことがあるかどうかの挙手を求めました。ほぼ全員が手を挙げました。次に、そのサービスを信頼しているかどうかを質問すると、ほぼ全員が手を下げました。そこから、セキュリティ専門家は、自分たちがサービス プロバイダーを信頼する理由あるいは信頼しない理由を知る必要があることが明らかになりました。
Smartsheet アプリケーション環境は常に改善し続けている状態ですから、私たちは、ハードウェア、ネットワーク、個々のシステム、サービス、アプリケーションといったあらゆるレベルで継続的に包括的なセキュリティ テストを今なお反復実行しています。これは、エンタープライズ級の SaaS プラットフォームを提供する信頼性の高い企業にとっての義務です。
アプリケーション レベルでは、定期的に社内社外両方の侵入テストを完了させています。開発プロセスの一環として、アプリケーション レベルでコード レビューを行い、何らかのコードがデプロイされる前にそこで動的スキャン チェックを行います。
次に、ピア レビューを行い、バグ報奨金プログラムに参加します。そこでサード パーティの調査員に環境を調べてバグをレポートしてもらいます。こうしたプロセスの一環で発見されたバグや脆弱性を修復します。セキュリティの見地から、常に確実に備えておくため、攻撃される可能性のある複数の方向を検討します。
情報セキュリティ コミュニティへの貢献
情報技術はエコシステムです。クラウド コンピューティング、オンプレミス データ センター、ネットワーク、電話システム、デジタル システム — 最近はすべてがつながっています。
そういうわけで、Smartsheet では、組織や他の SaaS プロバイダーと意図的に提携して、全員が直面する共通の課題に取り組んでいます。製品の観点からは、Smartsheet は Salesforce や Google などの他のエンタープライズ級ソフトウェア製品と連携しています。これらの企業は、自身の知る限りにおいてそれらのプラットフォームが確実に保護されるよう適切な注意を払っています。
共同作業管理 (CWM) 分野のリーダーとして、Smartsheet は情報セキュリティ コミュニティとも広くつながっています。2018 年、Smartsheet は、メッセージング、マルウェア、モバイルの不正行為対策に取り組んでいるワーキング グループ、Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) に参加しました。仲間に話を聞いて協力することが、業界標準を作成し、文書化し、ガイダンスを提供するのに欠かせないからです。
しかし、あらゆる業界のあらゆる規模の組織が毎日 Smartsheet を使っているため、この側面には収まりません。私たちには、あらゆる業界に渡る顧客の話を聞き、顧客が直面しているセキュリティとデータ プライバシーの課題を本当に理解し、この領域の他の SaaS プロバイダーのアドバイスを提供するという、固有の機会があります。このレベルで知識を共有しベスト プラクティスに向けて調整することは、あらゆる顧客にとっての利益になります。
M3AAWG のような組織グループに参加することで、既に素晴らしいアイデアに取り組んでいる次世代の技術者やスタートアップ企業を導くこともできます。ほとんどの (だがすべてではない) 大規模組織は一般的に俊敏さに欠け、方向転換、適応、革新が遅いので、拡大を求める成長段階の企業と生徒に、セキュリティ プロセスとプロトコルのベスト プラクティスを提供することが重要です。
最終的には、企業の次の波が成熟し、テクノロジー重視の学生が職場に入り、それから共同的な未来へと進みます。セキュリティの専門家には確かに指導の機会がありますが、将来の顧客との信頼関係を構築して維持することについて、次世代から学ぶ機会もあるのです。
Smartsheet IT ニュースレターを購読して、IT 専門家がビジネスへの影響力を高めるためのヒント、戦略、アイデアをご確認ください。
Smartsheet の情報セキュリティ、コンプライアンス、データ ガバナンスおよび保護に関するポリシーの詳細情報については、Trust Center でご確認ください。
