第21回

対談：悪意のある（非）内部関係者

Varonis Systems, Inc. 執筆

2024年9月4日

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第21回目となる今回は、「悪意のある（非）内部関係者」と題して、当社Megan GarzaとSalesforceのRachel Beard氏（Distinguished Technical Architect、CIPM) による、内部者脅威が必ずしも悪意を持っているとは限らない理由と、CRMのセキュリティがなぜ重要なのかについての対談を紹介します。

対談（日本語訳）

はじめに

【Megan Garza】Speed Dataへようこそ。サイバーセキュリティのリーダーとの対談シリーズです。司会のMegan Garzaです。今回は、Distinguished Technical Architect であり CIPM (Certified Information Privacy Manager) でもある Rachel Beard さんをお迎えします。ようこそ、Rachelさん。
	【Rachel Beard】ありがとうございます。このような場にお迎えいただき光栄です。

Salesforceでの仕事

【Megan Garza】Rachelさんは、Salesforceを利用するお客様がデータセキュリティのコンプライアンス要件やプライバシー要件に対応することを支援するソリューションを提供しています。Salesforce認定App Builder、Advanced Administrator、Four Star Trailhead Rangerで、Salesforceアプリケーションのカスタマイズと構成に関して15年以上の経験を有しています。Rachelさんは、また、Salesforceの「Women in Solutions Excellence（WISE）」グループの代表を務め、Salesforce社のPride従業員リソースグループである「Outforce at Home」の副代表を務めています。 Rachelさんは、Salesforceで過去10年間、セキュリティ担当幹部と協力して、ビジネスを適応、変革し、効果的なセキュリティ戦略を策定してきました。エンタープライズ賞の受賞者であり、サンフランシスコ州立大学を優秀な成績で卒業し、以前は市内の小学校の多様性と包括性 (diversity and inclusion) の保護者代表としてボランティア活動をしていました。 Rachelさん。確実に奉仕の心をお持ちのようですね。あなたはいつも地域社会に恩返しをしたいと思っていたのでしょうか？それはSalesforceでのあなたの役割にどのように反映されているのでしょうか？
	【Rachel Beard】はい、私はいつもボランティア活動を楽しみ、地域社会に変化をもたらすために懸命に努力してきました。Salesforceでは、このことがきっかけで、社内の様々な平等性グループ (Equality Group) に所属するようになり、Outforce at Homeにも参加するようになりました。特に、他の人たちと協力して、あらゆる人が参加できるようなイベントを作り上げるのに貢献できることが気に入っています。そして、私たち全員がより強いアライ (ally) になれるように支援するアライシップ (allyship) 教育プログラムを作ることができるのを嬉しく思っています。そして、WISEを通じて、非常に影響力のある10の委員会を率いることになりました。ネットワーキングやイベント、多様性 (diversity) をテーマにしたコンテンツを開発しています。メンターシッププログラム、教育プログラムなどもあります。そして、女性が本当に活躍し、Salesforceで永続的なキャリアを築くことができる環境を整えています。
【Megan Garza】それはすごいですね。私はあなたがSalesforceで行っている課外活動のすべてが大好きです。自分の役割について、日々の仕事あるいは全体を通して、何がいちばん楽しいと感じますか？
	【Rachel Beard】はい、本当に楽しんでいます。お客様を深く関わることにより、いま抱えている疑問や課題、夜も眠れないほどの悩みなどを理解することができます。そして、その課題を克服するために協力して戦略を策定できるよう支援することができます。それを一緒に行うことにより、お客様のセキュリティ態勢を強化することができます。コンプライアンスプロセスを改善し、監査、ガバナンス、情報漏洩防止に役立つツールを導入することができます。

サイバーセキュリティに関わりを持ったきっかけ

【Megan Garza】サイバーセキュリティの道に進もうと思ったきっかけは何ですか？

【Rachel Beard】10年前にSalesforceに入社した時、信頼を第一の価値として置いているという事実に惹かれました。そして、Salesforceのセキュリティモデルがいかによく練られているということに深い尊敬の念を抱くようになりました。それからすぐに、Salesforceの信頼あるサービス (trusted services) のエバンジェリストになりました。
Salesforceの責任共有モデルについて学ぶにつれて、自分のコンサルティングの経験を生かし、お客様と共に本当に革新的で素晴らしいSalesforceのユースケースを導入できることに気付きました。」ただし、セキュリティ・バイ・デザインとプライバシー・バイ・デザインの原則を組み込んだ方法で実現します。

新しいテクノロジーは、新しい脅威につながる

【Megan Garza】セキュリティと言えば、サイバーセキュリティに対する最大の脅威やリスクは何だとお考えですか？

【Rachel Beard】このことを考える時、私にとって最も難しく感じるのは、テクノロジーの急速な変化です。特に、ここ1年間で生成AIによってすべてが変化するのを見てきました。テクノロジーが進化し続ける中、脅威も進化していることがわかっています。攻撃者は、システム、人、プロセスを悪用する方法を、非常にクリエイティブな方法で考え出すこともわかっています。また、このような新しいタイプの攻撃に対する防御方法を見つけ出すにあたっては、大きな学習曲線があります。

悪意のある（非）内部関係者

【Megan Garza】攻撃についてもう一度お聞きしますが、どのようなデータ侵害やエクスプロイトが最も心配ですか？夜眠れない理由は何ですか？
	【Rachel Beard】私の場合、特に心理学のバックグラウンドがあるため、人間や人間の振る舞いにとても興味があります。内部者脅威についてよく考えます。Salesforceのお客様について言えば、外部からの攻撃に対して非常に強力な保護を提供する、Salesforceのネットワークとインフラストラクチャーのセキュリティ層に、非常に自信を持っています。ですから、内部者脅威についてもっと考えるのです。ユーザーは何をしているのか？ユーザーはどのように悪用されるのか？企業が強力なアクセス制御と認証プロセスを備えているかどうかについて、よく考えたいです。データの持ち出しが発生した場合のリスク表面を減らすために、企業が何らかの最小権限アクセスモデルを実装しているかを確認したいと思います。故意にデータを持ち去ろうとしたり、データを破壊しようとしたりする悪意のある行為者によって発生する内部者脅威を数多く目にします。しかし、偶発的なデータの誤用や偶発的な情報漏洩、あるいはコンプライアンスに準拠していない方法によるデータの取り扱いによって生じる内部者脅威も見受けられます。それに加えて、従業員が以前よりも頻繁に移動するようになっています。従業員が役割を変える時は、会社を変えることを知っています。移動する際に、データも一緒に移動することがよくあります。したがって、企業がそのリスクを軽減するため、繰り返しになりますが、操作や盗難の可能性があるリスク表面を削減するために最小権限アクセスモデルを導入し、できる限りのことを行っていることを確認したいと思います。さらに、内部者脅威による情報漏洩のリスクを削減するために、強力な監視と防止のプロセスを持っていることも確認したいです。なぜなら、社内で役職や役割が変わったとしても、それに応じてアクセス権や権限が調整されないことが多いのです。マーケティング部門で働いていた人がテクノロジー部門に移ったとしても、その人はマーケティング部門のカレンダーを見る必要はないはずです。
【Megan Garza】仰るとおりです。

サイバーセキュリティは終わりのない旅

【Megan Garza】将来のサイバーセキュリティ専門家に向けて、いま、あなたが期待することを一つ教えていただけますか？
	【Rachel Beard】サイバーセキュリティに終わりはありません。勉強は決して終わることはなく、セキュリティ対策の実装は決して終わることはなく、セキュリティ上の脅威に対する心配も終わることはありません。怖がらせて、このキャリアを断念させるために言っているのではありません。私はとても充実感を感じています。この分野で働くことが大好きです。ただ、将来のサイバーセキュリティ専門家には、学習、問題解決、チームワークに満ちたキャリアを期待して欲しいと思っています。なぜなら、それがまさにこの仕事に求められることだからです。
【Megan Garza】さて、Rachelさん、今日はお話をいただき本当にありがとうございました。データセキュリティソリューションを成功させるために何が必要なのか、多くを学ぶことができました。Speed Dataのエピソードにご参加いただきありがとうございました。またお会いしましょう。
	【Rachel Beard】ありがとうございました。

Interview (English transcript)

Introduction

【Megan Garza】Welcome to Speed Data. Quick conversations with cybersecurity leaders. I'm your host, Megan Garza. This week, I'm pleased to welcome Rachel Beard, Distinguished Technical Architect and CIPM (Certified Information Privacy Manager). Welcome, Rachel !
	【Rachel Beard】Thank you. It's so great to be here with you.

Service at Salesforce

【Megan Garza】Rachel provides solutions that help Salesforce customers address data security compliance and privacy requirements. The Salesforce Certified App Builder, Advanced Administrator, and Four Star Trailhead Ranger has more than 15 years of experience and customizing and configuring Salesforce application. Rachel also serves as the president of Salesforce “Women in Solutions Excellence (WISE)” group and is a co-leader of Outforce at Home”, Salesforce’s Pride ERG (Employee Resource Group). Rachel has spent the last decade at Salesforce, partnering with security executives to use technology to adapt and transform their business and develop effective security strategies. The Enterprise Award winner graduated Magna Cum Laude from San Francisco State University and previously volunteered as a diversity and inclusion parent representative at her city’s elementary school. Rachel. It certainly seems like you have a servant's heart. Have you always wanted to give back to your community? And how does that manifest in your role at Salesforce?
	【Rachel Beard】Yes, I've always enjoyed volunteering and working hard to make a difference in my community. At Salesforce, this has led me to be a member of multiple different equality groups we have here, but also with Outforce at Home. Specifically, I love that I can help collaborate with others to create events that are inclusive for all. And I love being able to create allyship educational programs to help all of us become stronger allies. And then, through WISE, I get to lead 10 different committees that are really impactful. We develop content around networking and events, diversity. We have mentorship programs, educational programs and more. And we create an environment that women can really thrive in and build enduring careers at Salesforce.
【Megan Garza】That's awesome. I love all these extracurriculars that you do at Salesforce. What do you enjoy most about your role, either day-to-day or overall?
	【Rachel Beard】Yeah, I really enjoy that. I can go deep with my customers and understand what some of their current questions are or what their challenges are, what what's keeping them up at night, really. And then I can help them work together to craft a strategy to overcome those challenges. And in doing that together, we can strengthen their security posture. We can improve compliance processes, and we can implement tools that help with auditing, governance, and data loss prevention.

What made you to go into cybersecurity?

【Megan Garza】And what made you want to go into cybersecurity?

【Rachel Beard】Well, when I joined Salesforce 10 years ago, I was drawn to the fact that trust is a #1 value. And I developed a deep respect for how well thought out our security model was. And then quickly became an evangelist for Salesforce's trusted services.
As I learned more about Salesforce's shared responsibility model, I realized I could use my consulting background and work with customers to onboard their really innovative and amazing Salesforce use cases. But in a way that included security by design and privacy by design principles.

Emerging tech leads to emerging threats

【Megan Garza】And speaking of security, what do you foresee as the biggest threat or risk to cybersecurity on the horizon?

【Rachel Beard】When I think about this one, I think what challenges me the most is the rapid amount of change in technology, especially as we've seen everything changing with generative AI over the last year. As we see technology continuing to evolve, we know that threats evolve too. We know that attackers are really creative at figuring out ways to exploit systems and people and processes. And there's also a big learning curve at figuring out how to defend against these new types of attack.

The (non)malicious insider

【Megan Garza】And again, speaking of attacks, what type of data breaches or exploits do you worry about the most? What keeps you up at night?
	【Rachel Beard】For me, especially because I have a psychology background, and I'm really interested in people and how people behave. I think a lot about insider threats. With Salesforce customers in particular, I feel very confident with our network and infrastructure security layers that they're offering a really strong level of protection against external attacks. So I think more about insider threats. What do individuals do? How can they be exploited? I want to think a lot about whether companies have strong access controls and authentication processes. I want to see that they're implementing some kind of least privilege access model to reduce the surface of risk in the event of data exfiltration. I see a lot of insider threats that are the result of a bad actor who's deliberately trying to walk away with data or damage data. But I also see insider threats that are the result of accidental misuse of data or accidental data leakage, or working with data in ways that just isn't compliant. And then on top of all of that, I see employees moving around more than they used to. So I know that when employees change roles, change companies. When they move, data often moves with them. So, I want to make sure that companies are doing all they can to mitigate that risk by again having that least privileged access model to reduce that surface of what could be manipulated or stolen. And then also having really strong monitoring and prevention processes in place to reduce the risk of data loss from insider threats. Because a lot of times when folks do move positions or roles within a company, their access or privilege isn't adjusted accordingly. And so if you have somebody working in, you know, marketing and then they go and work in technology, they don't necessarily need to see, you know, the marketing calendar.
【Megan Garza】Exactly.

Cybersecurity is a continuous journey

【Megan Garza】Can you share one thing you wish for the future cybersecurity profession now?
	【Rachel Beard】There's no done with cybersecurity. You're never done learning, you're never done implementing security measures, and you're never done really worrying about security threats. And I don't say that to scare anyone off of this career. I find it very fulfilling. I love working in this field. I just want any future cybersecurity professionals to be excited for a career that is full of learning, problem solving and teamwork, because that's really what's required for the role.
【Megan Garza】Well, thank you so much for chatting with me today, Rachel. I learned a lot about what it takes to make a data security solution successful. I appreciate you joining me for this episode of Speed Data. Take care.
	【Rachel Beard】Thank you.

参考資料

・Varonis YouTubeチャンネル「Speed Data」シリーズ（英語）
https://www.youtube.com/watch?v=arGPlU0eKjE&list=PLYEr6kVanyrM-tX5GhOUo26ccNpSzch82

・信頼とセキュリティ
https://www.varonis.com/ja/trust

・当コラム第3回「Varonisが内部者の脅威との戦いを支援する3つの方法」
https://www.innovations-i.com/column/data-security/3.html

・当コラム第8回「組織における責任共有モデルの理解と適用」
https://www.innovations-i.com/column/data-security/8.html

・当コラム第15回「Salesforceの保護：公開リンク作成を防止」
https://www.innovations-i.com/column/data-security/15.html

・データシート「Varonis for Salesforce」
https://view.highspot.com/viewer/fc247d2992388e702f4c1e4beed4b554?iid=62bc54e779a5369105efc1cc

・データシート「Salesforce Shield」
https://view.highspot.com/viewer/fc247d2992388e702f4c1e4beed4b554?iid=6692f2ece3912c4591ed0868

聞き手の紹介

Megan Garza

MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。

（翻訳：跡部靖夫）

プロフィール

Varonis Systems, Inc.

Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。

Webサイト：Varonis Systems, Inc.

このコラムニストの企業情報

データセキュリティ | Varonis