Last Updated on 2024-04-26 22:14 by 荒木 啓介
マイク・ワグナーは、ジョンソン・エンド・ジョンソン(J&J)の長年の情報セキュリティ専門家であり、同社のセキュリティアプローチとセキュリティスタックの形成に貢献した。最近、彼はJ&Jから分社化された消費者ヘルスケア会社、ケンビューの初代CISO(最高情報セキュリティ責任者)に就任した。この新しい役割で、彼はJ&Jのベストプラクティスと、新しいスタンドアロン企業に適した効率的で現代的なアプローチを組み合わせることを目指している。
ケンビューのセキュリティプログラムを構築するために必要な主要な役割を定義することから始め、アーキテクト、エンジニア、アイデンティティおよびアクセス管理(IAM)の専門家、リスク管理リーダー、セキュリティオペレーションスタッフなどを含むチームを組織した。サイバーアーキテクチャの効果性と将来のスケーラビリティを最大化するために、AIと機械学習を組み込むことを意図していた。
次に、J&Jから保持すべきツールとプロセス、そして置き換えるべきものを選択するステップがあった。J&Jのセキュリティアーキテクチャは確かだったが、数十年にわたる買収によって作成されたシステムの寄せ集めだった。ワグナーのチームは、J&Jのツールをケンビューの運用モデルにマッピングし、ケンビューが必要とする機能を持つものを選択した。結果として、ケンビューは技術スタックの約半分をJ&Jから採用した。
さらに、ワグナーは、ビジネス情報セキュリティオフィサー(BISO)を含む、適切な専門知識を持つチームを組織する課題に直面した。これらのBISOは、サイバー組織と異なるビジネスユニット間の仲介者として機能する。ツールとチームが整った後、J&Jとケンビューのセキュリティを移行中に維持する最終的な課題があった。これには、異なる機能間の連絡と、J&Jのリーダー、ケンビューのリーダー、およびサプライヤーを含む日常的な会議が必要だった。
基盤が整った今、ケンビューのセキュリティチームはスムーズに運営されているが、ワグナーはさらなる改善を計画している。次に、ゼロトラストの採用と技術コントロールの強化に注力する予定である。
【ニュース解説】
ジョンソン・エンド・ジョンソン(J&J)から分社化された消費者ヘルスケア会社、ケンビューの初代最高情報セキュリティ責任者(CISO)であるマイク・ワグナーは、J&Jでの長年の経験を活かしつつ、新しいスタンドアロン企業に適した効率的で現代的なセキュリティプログラムの構築を目指しています。この取り組みは、セキュリティアーキテクチャの最適化、AIと機械学習の組み込み、そして適切なセキュリティツールの選択という三つの主要なステップから成り立っています。
ケンビューのセキュリティプログラム構築の第一歩として、ワグナーはアーキテクト、エンジニア、アイデンティティおよびアクセス管理(IAM)の専門家、リスク管理リーダー、セキュリティオペレーションスタッフなど、必要な役割を定義しました。これらの役割は、セキュリティプログラムの効果的な構築に不可欠です。さらに、将来のスケーラビリティを考慮して、AIと機械学習の技術をセキュリティアーキテクチャに組み込むことを意図しています。これにより、IAMの自動化、サプライヤー評価の自動化、行動分析のためのAIの利用、脅威検出の改善などが可能になります。
次に、ワグナーのチームは、J&Jから保持すべきツールとプロセス、そして置き換えるべきものを選択しました。この過程では、ケンビューの運用モデルに合致し、必要な機能を持つツールを選び出すことが重要でした。結果として、技術スタックの約半分をJ&Jから採用しました。
さらに、適切な専門知識を持つチームの組織化も重要な課題でした。ワグナーは、J&Jの従業員と外部の候補者の能力を評価した後、J&Jの深いビジネス知識を持つ元従業員と、現代的な技術とサイバースキルを持つ新規採用者の組み合わせを選択しました。また、ビジネス情報セキュリティオフィサー(BISO)もチームに加え、サイバー組織と異なるビジネスユニット間の仲介者としての役割を果たします。
基盤が整った現在、ケンビューのセキュリティチームはスムーズに運営されていますが、ワグナーはゼロトラストの採用や技術コントロールの強化など、さらなる改善を計画しています。これらの取り組みは、セキュリティプログラムのスケーラビリティと適応性を高めるために不可欠です。
この事例から、企業が分社化する際には、既存のセキュリティアーキテクチャを見直し、新しい企業のビジネスモデルや運用モデルに合わせて最適化することが重要であることがわかります。また、AIや機械学習などの先進技術を活用することで、セキュリティプログラムの効率性と効果性を高めることができるという点も注目に値します。さらに、適切な人材の選択と組織化は、セキュリティプログラムの成功において不可欠な要素であることが示されています。
