セキュリティが最高である指標は「顧客からの信頼」
徹底した透明性が競争優位の差別化要因となる仕組み
問題は、もはや「攻撃されるかどうか」ではなく、「いつ攻撃されるか」です。ベンダーは、顧客との信頼関係を築くことが重要です。ベンダーが注目されるポイントは、顧客データをどれだけしっかり守れるか、サービスの安定性をどれだけ保てるか、問題が発生した時の連絡のしやすさです。
特に、企業の重要な業務を��支える場合、そのベンダーが持つ信頼度がどれだけ高いかが重要視されます。例えば、Blue Yonderは、サプライチェーン向けのソリューションを提供しており、小売計画、人員管理、倉庫管理、輸送物流など、企業の重要な業務を支えています。そのため、Blue Yonderが攻撃を受けても、同社のトラックが止まったり、店舗の棚から商品がなくなることはないことを確信できる環境を、お客様に提供する必要があります。
顧客との信頼関係を構築し維持することは、容易ではありません。私たちは皆、急速に変化するテクノロジーやセキュリティ環境の対応に追われています。進化するAIを活用した脅威と戦うだけでなく、サードパーティベンダーへの依存によって生じる脆弱性にも対処する必要があります。攻撃や障害によってビジネスに混乱が生じた場合、すぐに顧客の信頼を損なう結果になる可能性があります。
Blue YonderのCSOとして、私は同僚と協力し、サイバーセキュリティ組織内に「信頼性保証部門」を設立しました。この部門は、当社がお客様のデータをどのように保護しているかについて顧客と透明性の高いコミュニケーションを取り、サービスの信頼性向上に継続的に取り組み、問題が発生した場合に解決する役割を担います。私たちがこれまでに学んだベストプラクティスは、信頼を企業文化に組み込み、顧客とより強い信頼関係を築きたい企業にとって非常に役立ちます。
透明性によって信頼を築く
信頼は、「この企業は信頼できそうだ」という漠然とした感覚だけでなく、強力なサイバーセキュリティと高い透明性によって築かれるものです。見込み顧客はソリューションを検討し始めたその瞬間から、データやアプリがどのように保護されるかに関する正確な情報を求めています。また、何か問題が発生した場合に、すぐに通知される体制であることを望んでいます。
多くは信頼の上に成り立ちます。顧客は、あなたのビジネスに投資しており、正しい選択をしていることを確信したいのです。もし組織が透明性を欠いていれば、評判は低下し、顧客は他の選択肢を探すでしょう。
私の経験上、信頼性保証部門を成功させるには、人とプロセスの両方にまたがる、包括的な戦略が必要です。
人材: 信頼性保証部門の編成
信頼性保証部門は、営業、マーケティング、広報、カスタマーエクスペリエンスではなく、サイバーセキュリティ組織内に置くことを検討しましょう。そうすることで、危機対応の最前線にいるメンバーの近��くで活動できるため、セキュリティチームの知識や経験を活用して、インシデント発生時にも効率よく連携することができます。
信頼性保証部門は同時に、組織全体で社内の協力体制を促進しながら、営業や顧客エンゲージメントの取り組みを支援する必要があります。
販売サポート:信頼性保証部門は、顧客や見込み客から寄せられる重要なサイバーセキュリティに関する質問に対応することで、アカウントチームやサポートチームを支援します。また、顧客対応部門へのトレーニングを行い、「信頼」をメッセージの重要な部分になるようサポートします。
顧客エンゲージメント:既存顧客との直接対話を通じて、インシデントの事前予防や事後対応時の連絡を管理したり、指標の収集やレポートの管理を行ったり、顧客のインシデントへの備え(机上演習や事業継続計画のテストなど)を支援します。ワークショップを開催して、ベストプラクティスを共有したり、より顧客のニーズを理解する機会を設けることもできます。
部門横断の連携:信頼には、通常業務時とインシデント発生時の両方において一貫した声が必要です。例えば、信頼性保証部門はマーケティング部門と連携して、企業のセキュリティのポリシーやコンプライアンスへの取り組みを紹介するソートリーダーシップ資料を作成したり、CSOオフィスと連携して社内のセキュリティ意識を高めたり、広報および法務部門と緊密に連携して、データ漏洩やサービス停止発生時に適切な対応ができるよう備えることができます。
プロセス:ワークフローとポリシーの確立
チームを編成することに加えて、適切なプロセスや方針を整えることも重要です。これにより、緊急事態に適切に対応できるだけでなく、長期的な顧客との信頼関係も強化できます。少なくとも、顧客は「通知がいつ、どのように届くのか」を把握する必要があります。
迅速なインシデント対応を確保する:どれだけ強固な防御をしていても、攻撃や障害は起こり得ます。そのような場合、顧客は攻撃をすぐに止めたり、サービスをすぐに再開できることを望んでいますが、それと同じくらい、迅速かつ透明性のあるコミュニケーションを望んでいます。以前は重大インシデントの通知に数日〜数週間かかることもありましたが、今では「数時間以内」の通知が求められています。
共感をもって伝える:インシデント対応時や、CISOとの定期的なミーティングなど、顧客とコミュニケーションを取る際は、まず共感の姿勢を示しましょう。同じ立場で課題に向き合っているという意識が大切です。顧客との対面やビデオ会議は、人としてのつながりを強め、信頼を深める助けになります。
情報共有を促進する:情報を共有するのはインシデントが発生してからではありません。社内Webサイトを作成して、顧客対応時に必要なサイバーセキュリティ情報をまとめておくことが考えられます。社外では、CISO協議会に参加したり、ソートリーダーシップコンテンツを作成して、同業者と情報を共有することもできます。このような透明性は、時間の経過とともにセキュリティの向上に役立ちます。また、顧客に対して信頼を重要視していることをアピールする材料にもなります。
可用性を見直す:多くのセキュリティ担当者は「CIAトライアド(機密性、完全性、可用性)」という考え方を知っているでしょう。しかし、長年にわたり、可用性は軽視されてきました。企業は、アプリケーションとサービスの継続的な稼働時間と耐障害性を確保するための対策を十分に講じていません。しかし、企業や個人がクラウドベースのサービスやソフトウェアにますます依存するようになっている今、より多くの障害が発生しています。サイバーセキュリティチームは、可用性に関するリーダーポジションの創設を検討するか、可用性と従来のサイバーセキュリティ機能との連携を再考する必要があります。
信頼できるパートナーやベンダーの選択
信頼の構築は、グループ活動です。Blue Yonderでは、ベンダーの選定やパートナーシップを結ぶ際に、信頼を重視しています。これらの企業には、脅威のパターンやセキュリティ戦略に関する情報を共有していることを求めます。そして当然ながら、企業や顧客の安全を守るために必要な技術やサービスを提供している必要があります。
当社がCloudflareと協力する理由の一つは、Cloudflareが信頼性と透明性のリーダーとして認知されているためです。私たちは、Cloudflareが、幅広いサイバーセキュリティサービスのポートフォリオを提供しているだけでなく、脅威の傾向、インシデント、およびレジリエンス強化計画に関する情報を積極的に公開している点を高く評価しています。
信頼を差別化要因にする
信頼は「あればいい」というものではなく、競争の激しい市場では必須要件となります。どれだけ優れた製品を持っていても、顧客がデータや運用を安心して任せられないと感じれば、顧客は別のベンダーへと流れていきます。裏を返せば、しっかりと時間��とリソースを投資して信頼性保証部門を構築すれば、大きな競争差別化要因になり得るでしょう。同じようなサービスを提供する2つのベンダーがあった場合、顧客は「データをしっかり守り、アプリケーションを安定稼働させてくれる」方のベンダーを選ぶでしょう。
Blue Yonderでは、社内に信頼性保証部門を立ち上げ、サイバーセキュリティに関する情報を継続的に発信してきました。その取り組みによって、顧客への向き合い方は確実に強化されたと感じています。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一稿です。
このトピックを深く掘りさげてみましょう。
リスクを軽減し効率を高めることで信頼を構築し維持する方法について詳しくは、エグゼクティブガイド「統合リスクポスチャ:リスク低減と簡素化のためのCISO向けガイド」をご覧ください。
著者
Erika Voss — @evciso
Blue Yonder最高セキュリティ責任者
記事の要点
この記事では、以下のことがわかるようになります。
透明性が長期的な顧客ロイヤルティを醸成する仕組み
信頼を築くために重要な人材とプロセス
セキュリティ組織内に設置する信頼性保証部門の3つの柱