2025年1月にAcronisの最高情報セキュリティ責任者(CISO)に就任したGerald Beuchelt(ジェラード・ブショルト)氏は、就任以前に3社のIT企業でセキュリティの要職を歴任し、その経験から組織のビジネス推進のセキュリティ対策の両立、また、セキュリティの人材不足やコスト削減といった課題には、外部リソースの活用が欠かせないと話す。同氏に、その経験やAcronisでの取り組みなどを聞いた。
Acronis 最高情報セキュリティ責任者のGerald Beuchelt氏
「ビジネスとセキュリティは一体」が常識に
Beuchelt氏の職責は、Acronisで同社内のセキュリティ対策やコンプライアンスだけでなく、社外に提供する製品やソリューション、ビジネス全体の方向性や戦略、顧客やパートナーらへの啓発活動なども担うという。主に組織内のセキュリティ対策やコンプライアンスを担う日本のCISOよりも広範な領域を担当している。
Acronisへの入社以前は、ソーシャルメディア解析などを手掛けるSprinklrでセキュリティプログラムを構築し、リモートアクセス管理を手掛けるLogMeInでは、合併に伴うセキュリティ部門の統合、ECプラットフォームを手掛けるDemandware(現Salesforce)ではCISOとして同社のセキュリティ体制をけん引した。セキュリティ分野のソートリーダーとして、米National Cybersecurity Allianceなどの委員も務め、「Certified Information Systems Security Professional」(CISSP)など多くのセキュリティ資格も有している。
「AcronisからCISO職を打診があり、3つの会社で約12年にわたりセキュリティ責任者を務めてきた経験を生かし、プロダクトを生み出す企業としてセキュリティの要件を順守しつつ、ビジネスの拡大や市場への参入といったことのバランスを両立させていく大切なチャレンジに臨みたいと考えた」(Beuchelt氏)
ビジネスとITやデジタルが密接な現在は、顧客に提供する製品やサービスなどとサイバーセキュリティの担保は切っても切れない関係だ。Beuchelt氏は、自身の経験から、特にセキュリティやコンプライアンスにまつわるリスクの評価と管理の観点でもって、ビジネスを推進していく取り組みが大切だとも述べる。
「以前の会社で新しいウェブインターフェースのリリースを準備した時のこと、外部のセキュリティの専門家から既存のインターフェースに悪用が困難ながら深刻度の高い脆弱性(ぜいじゃくせい)が存在するとの指摘を受けた」
「脆弱性の解決には多くの社内リソースを割いても対応完了までに6~8カ月を要する見通しだった。しかし、既に新しいウェブインターフェースを告知しており、ビジネスの観点ではリリースを遅らせることができない事情があった。そこで、既存のインターフェースに対する脅威を常時監視して万一の時に迅速な対応が取れるよう備えつつ、新しいウェブインターフェースの開発を推進する判断をした」(Beuchelt氏)
ITやデジタルが絡む多くの製品やサービスには、国・地域や業界などのセキュリティやコンプライアンスに関する法規制への順守が実質的に必須というケースも増えてきている。そのためCISOに求められる責務も拡大しているようだ。
「昔ならチェックリストに従ってセキュリティの要件を満たしているかどうか確認していたが、今ではリスクベースにより、顧客や従業員、パートナーを含むあらゆるステークホルダーを守りながらビジネスを推進しなければならないという考え方に変化している。このことは非常に重要だ」(Beuchelt氏)
しかしながら、セキュリティやコンプライアンスに関する広範なニーズの高まりを背景にセキュリティの専門人材の不足や、それらにまつわるコストの増大などが世界的な課題となって久しい。組織内部の対応だけでも難しいところ、対外的なビジネスも含めた推進は、より困難なものだろう。そこで同氏は、Acronisでマネージドサービス提供事業(MSP)やマネージドセキュリティサービス提供事業(MSSP)の活用促進を重点施策の1つとして取り組んでいるという。
