第18回

対談：ガバナンス、リスク管理、コンプライアンス (GRC) の原理

Varonis Systems, Inc. 執筆

2024年8月7日

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第18回目となる今回は、「ガバナンス、リスク管理、コンプライアンス (GRC) の原理」と題して、当社Megan GarzaとGRC専門家のHannah DeWaneによる、GRC専門家の日々の仕事内容や、セキュリティ監査とリスク管理の役割や素晴らしさについての対談をご紹介いたします。

対談（日本語訳）

はじめに

【Megan Garza】Speed Dataへようこそ。サイバーセキュリティのリーダーとの対談シリーズです。司会のMegan Garzaです。本日は、VaronisのサイバーセキュリティのGRC（ガバナンス、リスク、コンプライアンス）の専門家であるHannah DeWaneさんに登場してもらいます。ようこそ、Hannahさん。
	【Hannah DeWane】ありがとう、Meganさん。

Hannahさんの経歴

【Megan Garza】サイバーセキュリティGRCの専門家として、Hannahさんは、お客様からのお問い合わせやアセスメントに対応しています。さらに、Hannahはセキュリティ意識向上プログラム、リスク管理、外部セキュリティ監査、および自社のコンプライアンスプログラムも担当しています。
Hannahさんは、VaronisのITエンジニアとしてキャリアを開始し、その後、SoCチームに移り、続いて、最高情報セキュリティ責任者 (CISO) の下でGRC専門家として働いています。
彼女が取得している資格のリストは非常に印象的です。彼女は、CRISC（Certified in Risk and Information Systems Control）、CompTIA A+、CompTIA Security+、IT Risk Fundamentals、Microsoft認定資格のAzure FundamentalsとSecurity Compliance and Identityを取得しています。

サイバーセキュリティでの最大の脅威

【Megan Garza】Hannahさん、あなたはセキュリティに関する豊富な知識をお持ちですね。今後、サイバーセキュリティに対する最大の脅威やリスクは何だと予測していますか？

【Hannah DeWane】サイバーセキュリティにとっての最大の脅威は、いわゆる「知らないと知っていること (the known unknowns）」だと思います。例えば、AIのような先端技術について、誰もがこの技術のもつ驚異的な能力を知っています。しかし、新しい技術には、新たなリスクも伴うのです。
また、この技術を悪用しようとしている攻撃者もいます。私たちは、常に、現在の脅威に対応し、その攻撃に追い掛けて行くことができるよう、対応するスキルセットを身につけ続けなければなりません。

サイバーセキュリティに関わりを持ったきっかけ

【Megan Garza】なぜサイバーセキュリティに興味を持ったのですか？

【Hannah DeWane】IT業界出身の私は、実はサイバーセキュリティの攻撃側に興味がありました。ですから、セキュリティオペレーションセンター (SOC) 部門でキャリアをスタートしました。そして、インシデントレスポンスや調査、さまざまなサイバー攻撃とその脅威に対抗する方法に、非常に興味がありました。
セキュリティ部門に数年勤めている間に、私の情熱はサイバーセキュリティのビジネス側へ移っていきました。サイバーセキュリティプログラムを通じて、組織やお客様にどのように価値をお届けできるのかにとても興味があります。そして、それはGRCでの私の役割とよく一致しています。

日々の業務

【Megan Garza】あなたのお立場での、日常の業務はどのようなものですか？

【Hannah DeWane】GRCチームの一員として、お客様のお問い合わせに対応することも私の日々の仕事の一部です。私たちのチームの最優先事項の一つは、Varonisのセキュリティプログラムに関するお客様からのすべての質問にお答えし、ご安心いただけるようにすることです。
私たちは常にセキュリティプログラムの改善に努めています。ですから、既存の認証について、継続的な監査を行っています。セキュリティプログラム全体を改善するために、新しい認証、新しいプロジェクト、新しいシステムを探しています。

三要素のうち、最も重要なものは？

【Megan Garza】ここまで、ガバナンス・リスク・コンプライアンス (GRC) に関わるあなたの仕事について伺いましたが、3つの要素の中でどれが最も重要と思うのか、あなたのご意見をお聞かせいただけますか？
	【Hannah DeWane】この三要素はどれもとても重要です。強いて、いちばん重要だと思うものを1つ選ぶとするなら、それは「リスク管理」だと思います。リスク管理は、まさにGRCの基盤だと思います。なぜなら、企業はそれぞれ異なり、どの企業も自社の重要な資産や組織に対する主要なリスクを特定する必要があるからです。そして、そのリスクに合わせてセキュリティプログラムをあつらえることができます。「コンプライアンス」もとても重要です。サイバーセキュリティプログラムや、特定の法律や規制を遵守することだからです。さらに、「ガバナンス」も重要です。なぜならセキュリティ文化や倫理観など、ビジネスにとっての重要な価値観に関わるものだからです。つまり、この3つは本当によく連携していて、お互いを補い合っています。ですから、いつも一緒に登場してくるのです。しかし、もし、サイバーセキュリティに関する私のお気に入りのトピックを1つ挙げるとすれば、リスク管理でしょう。
【Megan Garza】まるで魔法の三点セットのようなものですね。
	【Hannah DeWane】はい。

サイバーセキュリティの仕事で最もやりがいを感じること

【Megan Garza】サイバーセキュリティの仕事で最もやりがいを感じることは何ですか？
	【Hannah DeWane】常に新しいことが学べるので、本当にやりがいのある仕事です。本当にやりがいがあるし、サイバーセキュリティにはいろいろな分野があり、各分野に進むことができます。本当に、誰にとっても何かがある分野だと思います。技術的な知識があるなら、あらゆる方向で役割を果たすことができます。人的側面やビジネス的側面により関心があるなら、そのような人向けの役割もあります。そこにとてもやりがいがあると思います。常に何か新しいことを学んでいること、そして自分の好きな方向にキャリアを薦めることができるということです。
【Megan Garza】あなたから情熱が伝わってきます。

もしサイバーセキュリティに携わっていなかったら

【Megan Garza】自分の仕事についてはよくご存じだと思いますが、もし、サイバーセキュリティに携わっていなかったら、何をしていたと思いますか？
	【Hannah DeWane】おそらく、法律関係を目指していたかも知れません。大学時代、実は法科大学院に行くか、教職を目指すか、少し悩んでいました。歴史学の学士号を取得していたので、そちらの方向を考えていました。実は、大学時代に、私はキャンパス内で学生の壊れたコンピューターを修理するアルバイトをしていました。そこで始めて、技術や人と接する仕事の面白さを知りました。そして、その方向に進んで、IT側にさらに興味を持つようになりました。
【Megan Garza】運命ですね。
	【Hannah DeWane】間違いありません。
【Megan Garza】Hannahさん、お時間をいただきありがとうございました。いつものように、視聴者の皆様から、今後のSpeed Dataのエピソードで聞いてみたいテーマを募集しています。pr@varonis.com 宛てに（英文で）メールをお送りください。 Hannaさん、ありがとうございました。
	【Hannah DeWane】ありがとう、Meganさん。

Interview (English transcript)

Introduction

【Megan Garza】Welcome to Speed Data. Quick conversations with cybersecurity leaders. I'm your host, Megan Garza. And today I'm joined by Hannah DeWane, cyber security governance, risk and compliance specialist here at Varonis. Welcome, Hannah.
	【Hannah DeWane】Thank you, Megan.

Hannah's background

【Megan Garza】As the cybersecurity GRC specialist, Hannah is responsible for responding to customers’ inquiries and assessments. Additionally, Hannah is responsible for the security awareness program, risk management, external security audits and our compliance program.Hannah began her Varonis career as an IT engineer before transitioning to the SoC team and then working as a GRC specialist under the Chief Information Security Officer. Her list of certifications are immensely impressive. She is certified in risk and information systems control, CompTIA A+, CompTIA Security+, IT Risk Fundamentals, and is Microsoft certified for Azure Fundamentals and Security Compliance and Identity.

Biggest threat to cyber security

【Megan Garza】Hannah, you have a wealth of security knowledge. What do you foresee as the biggest threat or risk to cybersecurity on the horizon?

【Hannah DeWane】I would say the biggest threat to cybersecurity is the idea of the known unknowns. For example, with emerging technology like AI, we know all the tremendous capabilities of this technology. But with new technology, there's also new risk. And there's also attackers trying to exploit the technology. We always have to continue adapting our skill set to the current threats and making sure that we can keep up with those attacks.

What drew you to cyber security?

【Megan Garza】And what drew you to cybersecurity?

【Hannah DeWane】Coming from an IT background, I was actually interested in the attack side of cyber security, so I started my career on the Security Operations Center, SOC Team. And I was really interested in incident response and investigations and understanding different cyber attacks and how to combat those threats.As I've been in the security department for a few years, my passion has shifted more towards the business side of cybersecurity. I'm really interested in how we can bring value to the organization and also our customers through our cyber security program. And that aligns well with my role in GRC.

What does your day-to-day look like?

【Megan Garza】And in your role, what is your day-to-day look like?

【Hannah DeWane】Being on the GRC team, part of my daily work is responding to customer inquiries. One of our top priorities is making sure that we answer all of our customers questions around Varonis’ security program and we provide them with assurance. We're always continuously trying to improve our security program. So we have ongoing audits for our existing certifications. We're always looking for new certifications and new projects and new systems to improve the overall security program.

Which one of the three factors are the most important?

【Megan Garza】And as we shared you work in governance risk and compliance and your opinion which one of those three factors is the most important.
	【Hannah DeWane】All three of them are very important. If I had to pick one, that would be the most important, I would say, Risk Management. Risk management in my opinion is really the foundation of GRC. Because every company is different and each business has to identify their critical assets and the major risks to their organization. And then they can tailor their security program around those risks. Compliance is also very important because it's about adhering to the cyber security program and also certain laws and regulations. And then Governance is also critical because it's about the security culture and adhering to ethics and other important values to the business. So they all three work really well together and they complement each other. That's why you see them together a lot. But if I had to really pick one that stands out to me and it's one of my favorite topics in cyber security, I would have to say Risk Management.
【Megan Garza】That's kind of like the magical trifecta.
	【Hannah DeWane】Yes.

Most rewarding aspect of working in cyber security

【Megan Garza】And what do you find to be the most rewarding aspect of working in cyber security?
	【Hannah DeWane】There's always something new to learn, so it's really challenging work. It's really rewarding and there's so many different areas of cyber security that you can go into. I really think it's one of those fields where there's something for everyone. If you're very technical, there's many different directions that you can take that role. Or if you're more interested in the people side or business side, there's really a role for everyone. I think that's very rewarding. The idea that you're always learning something new and that you can take your career whatever direction that you like.
【Megan Garza】I can tell that you're very passionate about it.

If you weren't in cybersecurity what would you be doing

【Megan Garza】You obviously know a lot about what you do, but if you weren't in cybersecurity, what would you be doing?
	【Hannah DeWane】I would probably be pursuing something on the legal side. When I was in college, I actually thought about for a little while going to law school or teaching. I got my undergraduate degree in history, so I was thinking more that direction.When I was in college, I actually took a part time job on campus during brake fix repairs for student computers. So that's kind of where I first found my fashion for working with technology and with people. And I started to go that direction and get more interested in the IT side.
【Megan Garza】It was meant to be.
	【Hannah DeWane】Definately.
【Megan Garza】I really appreciate your time, Hannah. As always, our audience can e-mail me with any questions they'd like asked during the future episode of Speed data. Just shoot me a note at pr@varonis.com. Thank you, Hannah.
	【Hannah DeWane】Thank you, Megan.

参考資料

・Varonis YouTubeチャンネル「Speed Data」シリーズ（英語）
https://www.youtube.com/watch?v=arGPlU0eKjE&list=PLYEr6kVanyrM-tX5GhOUo26ccNpSzch82

・信頼とセキュリティ
https://www.varonis.com/ja/trust

聞き手の紹介

Megan Garza

MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。

（翻訳：跡部靖夫）

プロフィール

Varonis Systems, Inc.

Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。

Webサイト：Varonis Systems, Inc.

このコラムニストの企業情報

データセキュリティ | Varonis