プライバシー、財務、あるいはその両方を危険にさらす新しいデータ侵害についての話を耳にしない日はありません。テクノロジーが進歩するにつれて、サイバー犯罪のリスクも高まります。
これはテクノロジーに依存している企業にとって、中でも日常業務だけでなく、プロダクトやサービスを顧客に提供する手段にテクノロジーを活用している企業にとって、何を意味するのでしょうか。過去に機能していたソリューションでは、もはや不十分です。サイバーセキュリティ対策として、ファイアウォールやウイルス対策ソフトウェアよりもはるかに強力なソリューションを備える必要があります。
Pendoの最高情報セキュリティ責任者であるChuck Keslerは、過去15年間、企業のサイバーセキュリティへの取り組みを支援してきました。2018年11月にPendoに入社して以来、Pendoのデータ、そして最も重要なお客様のデータの安全を確保するために、すべての従業員が重要な役割を担っているという前提に基づいて、部門横断的なプログラムを構築してきました。
PendoのCISOに就任する前は、Duke University Health Systemで7年間CISOを務め、それ以前はSymantecで6年間セキュリティコンサルタントチームを管理し、さまざまな業界のお客様にアドバイザリーサービスを提供してきました。これらの役割の両方で、Keslerは大企業の複雑なセキュリティとコンプライアンス上の課題解決を支援するチームを率いていました。Keslerは、「Pendoはクラウド生まれのSaaSスタートアップなので、その課題の中身は異なりますが、これまで私がはるかに大規模な組織で見てきたのと同じくらい困難な課題を抱えています」と指摘しています。
セキュリティを最優先する
PendoでのKeslerの目標の1つは、プロダクトやビジネスの意思決定を行う際に、常にセキュリティを最優先に考慮することです。
「私の経験では、セキュリティはプロセスの最後にただ追加すれば効果を期待できるというものではありません。新しいプロダクトやビジネスプロセスを構築するときは、セキュリティを最初の段階から考慮しなければならず、途中で新しいリスクが見つかった場合は決定を再検討する必要があります」
Keslerが入社する前、Pendoはセキュリティプログラムの強固な基盤をすでに構築しており、入社直前に最初のSOC2 Type II認証を取得していました。「プログラムを継続して改善し、今年もSOC2 Type II認証を更新できたことを誇りに思います」と、Keslerは言います。
戦術的な仕事の他に、KeslerはPendoでセキュリティを意識した文化を構築する取り組みも行っています。何よりもまず、セキュリティに関する会話をする機会が年次のトレーニングモジュールに限定されないようにしています。Keslerは、仕事で学んだサイバーセキュリティの実践は、私生活にも応用できると考えています。
たとえば、Pendoでのコミュニケーションの多く(大部分)はSlackを介して行われます。そこでKeslerは、使い慣れたSlackにサイバーセキュリティのチャンネルを作成することにしました。そこで企業としてのセキュリティ対策に関する質問から、ニュースで報じられた最新のデータ侵害やその影響までさまざまなことを話し合います。
「私がいつも感じているのは、多くの人々がサイバーセキュリティの世界で起こっていることに興味を持ち、もっと学びたいと思っているということです。Pendoのあらゆる社員が、自分の視点や学んだことをSlackチャンネルで共有しているのを見るのが大好きです」
セキュリティに関するコミュニティを育成する
ソフトウェア会社としてPendoは、Pendoに送信する情報が安全であるとお客様が確信することがいかに重要であるかを理解しています。Keslerはお客様との会話に参加し、セキュリティコンプライアンスについて説明したり、お客様からの質問に回答したりしています。また、お客様から潜在的なセキュリティ上の懸念が報告された場合は、Keslerが先頭に立って対応します。
「私がお客様と話す機会をいつも楽しんでいるのは、当社のセキュリティプログラムを説明できるからだけではなく、お客様のビジネスやセキュリティチームがセキュリティリスクにどのように対処しているかをよりよく理解できるからです」
サイバーセキュリティにおける自身のキャリアを振り返り、Keslerは「業界で最も優秀な人々と仕事をし、学ぶことができたことに深く感謝しています」と言います。この関心は、Keslerの本業にとどまりません。サイバーセキュリティ分野のキャリアに興味のある人々が最初の一歩を踏み出して、スキルを身につけられるように支援することにも、個人的な情熱を注いでいます。
Keslerは、ローリーにあるPendoのオフィスで、地元のセキュリティグループ向けのミーティングを毎月主催しています。このミーティングでは、週末の午後に30人以上のセキュリティ専門家が集まって知識を共有しています。また、セキュリティカンファレンスで頻繁に講演を行っており、ノースカロライナ州立大学 (物理学の学士号とMBAを取得)やデューク大学でもゲスト講義を行っています。
Pendoのデータプライバシーとセキュリティに関する取り組みについて、詳しくはこちらをご覧ください。