第18回
対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第18回目となる今回は、「ガバナンス、リスク管理、コンプライアンス (GRC) の原理」と題して、当社Megan GarzaとGRC専門家のHannah DeWaneによる、GRC専門家の日々の仕事内容や、セキュリティ監査とリスク管理の役割や素晴らしさについての対談をご紹介いたします。
対談(日本語訳)
はじめに
| 【Megan Garza】Speed Dataへようこそ。サイバーセキュリティのリーダーとの対談シリーズです。司会のMegan Garzaです。 本日は、VaronisのサイバーセキュリティのGRC(ガバナンス、リスク、コンプライアンス)の専門家であるHannah DeWaneさんに登場してもらいます。 ようこそ、Hannahさん。 | |
| 【Hannah DeWane】ありがとう、Meganさん。 |
Hannahさんの経歴
| 【Megan Garza】サイバーセキュリティGRCの専門家として、Hannahさんは、お客様からのお問い合わせやアセスメントに対応しています。さらに、Hannahはセキュリティ意識向上プログラム、リスク管理、外部セキュリティ監査、および自社のコンプライアンスプログラムも担当しています。 Hannahさんは、VaronisのITエンジニアとしてキャリアを開始し、その後、SoCチームに移り、続いて、最高情報セキュリティ責任者 (CISO) の下でGRC専門家として働いています。 彼女が取得している資格のリストは非常に印象的です。彼女は、CRISC(Certified in Risk and Information Systems Control)、CompTIA A+、CompTIA Security+、IT Risk Fundamentals、Microsoft認定資格のAzure FundamentalsとSecurity Compliance and Identityを取得しています。 |
サイバーセキュリティでの最大の脅威
| 【Megan Garza】Hannahさん、あなたはセキュリティに関する豊富な知識をお持ちですね。今後、サイバーセキュリティに対する最大の脅威やリスクは何だと予測していますか? | |
| 【Hannah DeWane】サイバーセキュリティにとっての最大の脅威は、いわゆる「知らないと知っていること (the known unknowns)」だと思います。例えば、AIのような先端技術について、誰もがこの技術のもつ驚異的な能力を知っています。しかし、新しい技術には、新たなリスクも伴うのです。 また、この技術を悪用しようとしている攻撃者もいます。私たちは、常に、現在の脅威に対応し、その攻撃に追い掛けて行くことができるよう、対応するスキルセットを身につけ続けなければなりません。 |
サイバーセキュリティに関わりを持ったきっかけ
| 【Megan Garza】なぜサイバーセキュリティに興味を持ったのですか? | |
| 【Hannah DeWane】IT業界出身の私は、実はサイバーセキュリティの攻撃側に興味がありました。ですから、セキュリティオペレーションセンター (SOC) 部門でキャリアをスタートしました。そして、インシデントレスポンスや調査、さまざまなサイバー攻撃とその脅威に対抗する方法に、非常に興味がありました。 セキュリティ部門に数年勤めている間に、私の情熱はサイバーセキュリティのビジネス側へ移っていきました。サイバーセキュリティプログラムを通じて、組織やお客様にどのように価値をお届けできるのかにとても興味があります。そして、それはGRCでの私の役割とよく一致しています。 |
日々の業務
| 【Megan Garza】あなたのお立場での、日常の業務はどのようなものですか? | |
| 【Hannah DeWane】GRCチームの一員として、お客様のお問い合わせに対応することも私の日々の仕事の一部です。私たちのチームの最優先事項の一つは、Varonisのセキュリティプログラムに関するお客様からのすべての質問にお答えし、ご安心いただけるようにすることです。 私たちは常にセキュリティプログラムの改善に努めています。ですから、既存の認証について、継続的な監査を行っています。セキュリティプログラム全体を改善するために、新しい認証、新しいプロジェクト、新しいシステムを探しています。 |
三要素のうち、最も重要なものは?
| 【Megan Garza】ここまで、ガバナンス・リスク・コンプライアンス (GRC) に関わるあなたの仕事について伺いましたが、3つの要素の中でどれが最も重要と思うのか、あなたのご意見をお聞かせいただけますか? | |
| 【Hannah DeWane】この三要素はどれもとても重要です。強いて、いちばん重要だと思うものを1つ選ぶとするなら、それは「リスク管理」だと思います。リスク管理は、まさにGRCの基盤だと思います。なぜなら、企業はそれぞれ異なり、どの企業も自社の重要な資産や組織に対する主要なリスクを特定する必要があるからです。そして、そのリスクに合わせてセキュリティプログラムをあつらえることができます。 「コンプライアンス」もとても重要です。サイバーセキュリティプログラムや、特定の法律や規制を遵守することだからです。 さらに、「ガバナンス」も重要です。なぜならセキュリティ文化や倫理観など、ビジネスにとっての重要な価値観に関わるものだからです。 つまり、この3つは本当によく連携していて、お互いを補い合っています。ですから、いつも一緒に登場してくるのです。しかし、もし、サイバーセキュリティに関する私のお気に入りのトピックを1つ挙げるとすれば、リスク管理でしょう。 | |
| 【Megan Garza】まるで魔法の三点セットのようなものですね。 | |
| 【Hannah DeWane】はい。 |
サイバーセキュリティの仕事で最もやりがいを感じること
| 【Megan Garza】サイバーセキュリティの仕事で最もやりがいを感じることは何ですか? | |
| 【Hannah DeWane】常に新しいことが学べるので、本当にやりがいのある仕事です。本当にやりがいがあるし、サイバーセキュリティにはいろいろな分野があり、各分野に進むことができます。本当に、誰にとっても何かがある分野だと思います。技術的な知識があるなら、あらゆる方向で役割を果たすことができます。人的側面やビジネス的側面により関心があるなら、そのような人向けの役割もあります。そこにとてもやりがいがあると思います。常に何か新しいことを学んでいること、そして自分の好きな方向にキャリアを薦めることができるということです。 | |
| 【Megan Garza】あなたから情熱が伝わってきます。 |
もしサイバーセキュリティに携わっていなかったら
| 【Megan Garza】自分の仕事についてはよくご存じだと思いますが、もし、サイバーセキュリティに携わっていなかったら、何をしていたと思いますか? | |
| 【Hannah DeWane】おそらく、法律関係を目指していたかも知れません。大学時代、実は法科大学院に行くか、教職を目指すか、少し悩んでいました。歴史学の学士号を取得していたので、そちらの方向を考えていました。 実は、大学時代に、私はキャンパス内で学生の壊れたコンピューターを修理するアルバイトをしていました。そこで始めて、技術や人と接する仕事の面白さを知りました。そして、その方向に進んで、IT側にさらに興味を持つようになりました。 | |
| 【Megan Garza】運命ですね。 | |
| 【Hannah DeWane】間違いありません。 | |
| 【Megan Garza】Hannahさん、お時間をいただきありがとうございました。 いつものように、視聴者の皆様から、今後のSpeed Dataのエピソードで聞いてみたいテーマを募集しています。pr@varonis.com 宛てに(英文で)メールをお送りください。 Hannaさん、ありがとうございました。 | |
| 【Hannah DeWane】ありがとう、Meganさん。 |
Interview (English transcript)
Introduction
| 【Megan Garza】Welcome to Speed Data. Quick conversations with cybersecurity leaders. I'm your host, Megan Garza. And today I'm joined by Hannah DeWane, cyber security governance, risk and compliance specialist here at Varonis. Welcome, Hannah. | |
| 【Hannah DeWane】Thank you, Megan. |
Hannah's background
| 【Megan Garza】As the cybersecurity GRC specialist, Hannah is responsible for responding to customers’ inquiries and assessments. Additionally, Hannah is responsible for the security awareness program, risk management, external security audits and our compliance program.Hannah began her Varonis career as an IT engineer before transitioning to the SoC team and then working as a GRC specialist under the Chief Information Security Officer. Her list of certifications are immensely impressive. She is certified in risk and information systems control, CompTIA A+, CompTIA Security+, IT Risk Fundamentals, and is Microsoft certified for Azure Fundamentals and Security Compliance and Identity. |
Biggest threat to cyber security
| 【Megan Garza】Hannah, you have a wealth of security knowledge. What do you foresee as the biggest threat or risk to cybersecurity on the horizon? | |
| 【Hannah DeWane】I would say the biggest threat to cybersecurity is the idea of the known unknowns. For example, with emerging technology like AI, we know all the tremendous capabilities of this technology. But with new technology, there's also new risk. And there's also attackers trying to exploit the technology. We always have to continue adapting our skill set to the current threats and making sure that we can keep up with those attacks. |
What drew you to cyber security?
| 【Megan Garza】And what drew you to cybersecurity? | |
| 【Hannah DeWane】Coming from an IT background, I was actually interested in the attack side of cyber security, so I started my career on the Security Operations Center, SOC Team. And I was really interested in incident response and investigations and understanding different cyber attacks and how to combat those threats.As I've been in the security department for a few years, my passion has shifted more towards the business side of cybersecurity. I'm really interested in how we can bring value to the organization and also our customers through our cyber security program. And that aligns well with my role in GRC. |
What does your day-to-day look like?
| 【Megan Garza】And in your role, what is your day-to-day look like? | |
| 【Hannah DeWane】Being on the GRC team, part of my daily work is responding to customer inquiries. One of our top priorities is making sure that we answer all of our customers questions around Varonis’ security program and we provide them with assurance. We're always continuously trying to improve our security program. So we have ongoing audits for our existing certifications. We're always looking for new certifications and new projects and new systems to improve the overall security program. |
Which one of the three factors are the most important?
| 【Megan Garza】And as we shared you work in governance risk and compliance and your opinion which one of those three factors is the most important. | |
| 【Hannah DeWane】All three of them are very important. If I had to pick one, that would be the most important, I would say, Risk Management. Risk management in my opinion is really the foundation of GRC. Because every company is different and each business has to identify their critical assets and the major risks to their organization. And then they can tailor their security program around those risks. Compliance is also very important because it's about adhering to the cyber security program and also certain laws and regulations. And then Governance is also critical because it's about the security culture and adhering to ethics and other important values to the business. So they all three work really well together and they complement each other. That's why you see them together a lot. But if I had to really pick one that stands out to me and it's one of my favorite topics in cyber security, I would have to say Risk Management. | |
| 【Megan Garza】That's kind of like the magical trifecta. | |
| 【Hannah DeWane】Yes. |
Most rewarding aspect of working in cyber security
| 【Megan Garza】And what do you find to be the most rewarding aspect of working in cyber security? | |
| 【Hannah DeWane】There's always something new to learn, so it's really challenging work. It's really rewarding and there's so many different areas of cyber security that you can go into. I really think it's one of those fields where there's something for everyone. If you're very technical, there's many different directions that you can take that role. Or if you're more interested in the people side or business side, there's really a role for everyone. I think that's very rewarding. The idea that you're always learning something new and that you can take your career whatever direction that you like. | |
| 【Megan Garza】I can tell that you're very passionate about it. |
If you weren't in cybersecurity what would you be doing
| 【Megan Garza】You obviously know a lot about what you do, but if you weren't in cybersecurity, what would you be doing? | |
| 【Hannah DeWane】I would probably be pursuing something on the legal side. When I was in college, I actually thought about for a little while going to law school or teaching. I got my undergraduate degree in history, so I was thinking more that direction.When I was in college, I actually took a part time job on campus during brake fix repairs for student computers. So that's kind of where I first found my fashion for working with technology and with people. And I started to go that direction and get more interested in the IT side. | |
| 【Megan Garza】It was meant to be. | |
| 【Hannah DeWane】Definately. | |
| 【Megan Garza】I really appreciate your time, Hannah. As always, our audience can e-mail me with any questions they'd like asked during the future episode of Speed data. Just shoot me a note at pr@varonis.com. Thank you, Hannah. | |
| 【Hannah DeWane】Thank you, Megan. |
参考資料
・Varonis YouTubeチャンネル「Speed Data」シリーズ(英語)
https://www.youtube.com/watch?v=arGPlU0eKjE&list=PLYEr6kVanyrM-tX5GhOUo26ccNpSzch82
・信頼とセキュリティ
https://www.varonis.com/ja/trust
聞き手の紹介
Megan Garza
MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり
