ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、本日から開催しているガートナー セキュリティ&リスク・マネジメント サミットのオープニング基調講演において、サイバーセキュリティにおいて払拭すべき4つの「先入観」と実行すべきアクションを発表しました。
サイバーセキュリティの取り組みは、企業に大きな価値をもたらしますが、4つの主な「先入観」によって、その労力に見合った効果がもたらされていません。セキュリティ/リスク・マネジメント (SRM) のリーダーおよび最高情報セキュリティ責任者 (CISO) は、サイバーセキュリティに求められているのは最小の労力で最大の効果をもたらすマインドセットであることを理解する必要があります。
バイス プレジデント アナリストのジェイ・ハイザー (Jay Heiser) は、次のように述べています。「『最小』という考え方に違和感を覚えるかもしれませんが、これは労力を指すものであり、成果を指すものではありません。最小の労力で最大の効果をもたらすマインドセットとは、サイバーセキュリティの真の価値を提供するための、ROIに基づく戦略的なアプローチのことです。このアプローチによって、サイバーセキュリティ専門家は、『防御壁』という役割にとどまることなく、明確な価値を生み出す真の潜在能力を発揮できるようになります」
シニア ディレクター アナリストのエンリケ・テシェイラ (Henrique Teixeira) は、次のように述べています。「私たちはあらゆるものに多くの労力をかけていますが、時に取り組みを遅らせることもあり、また、進む方向が正しいものとは限りません。その結果、73%のCISOが過去1年間に燃え尽きを経験しています。CISOが経験していることはチーム全体が感じていることでもあります」
ハイザーとテシェイラは、セキュリティにおいて打破しなければならない4つの主な「先入観」を明らかにし、セキュリティ・リーダーがビジネスのエンゲージメント、テクノロジ、人材にわたって新たな価値をもたらすために押さえておくべきポイントを解説しました。
先入観その1:リスク分析を増やす=よりセキュアになる
一般的に、サイバーセキュリティのイニシアティブで幹部レベルの意思決定者の行動を促すには、サイバーイベントの発生可能性を算出するなど高度なデータ分析を行うことが最善であると考えられています。しかし、このような方法で全てのリスクを定量化することは現実的ではありません。この情報だけでは、セキュリティ・リスクがもたらすビジネス・リスクに対し、誰がどのように対処し責任を負うのか、CISOと経営者が実行すべき次の行動に、直接結びつかないからです。Gartnerの調査では、サイバーリスクの定量化が新たな行動につながると回答したCISOはわずか36%でした。
ハイザーは次のように述べています。「経験豊富なCISOは、より多くのデータやアナリティクスを追求し続けるのではなく、『最小労力で最大効果をもたらす知見』を活用し始めています。それは、『サイバーセキュリティへの投資額』と『その投資で対応可能な脆弱性の量』を直接的に結ぶために必要な最小限の情報を見極めることで得られる情報です」
ビジネスを推進するために、やみくもに高度なリスク分析を増やすことは逆効果です。CISOは、最小労力で最大効果をもたらす知見に基づいて行動を取るために、Gartnerの成果主導の評価指標 (ODM: Outcome-Driven Metrics) を使用すべきです。ODMは、現在実施しているセキュリティ・レベルとそれに掛かったコストに応じて、実装可能な代替策とそのセキュリティ・レベルを説明することによって、セキュリティ運用から得られる評価指標をビジネス成果に結び付けます。
先入観その2:ツールを増やす=よりセキュアになる
ほとんどの企業が新しいテクノロジの獲得を検討していることがGartnerに寄せられる問い合わせの傾向から明らかになっています。一方でそうした企業は、サイバーセキュリティ・ツールやテクノロジへの支出を増やしているにもかかわらず、セキュアになった実感は得られないと感じています。
ハイザーは次のように述べています。「サイバーセキュリティに関しては往々にして、『すぐ近くにより良い何かがあるに違いない』と、テクノロジの調達に熱心になるマインドセットに陥ることがあります。そうではなく、CISOは、『最小労力で最大効果をもたらすツール』 (企業を狙う攻撃やその予兆の観察/防御/対応に必要な最小限のテクノロジ) を取り入れる必要があります。これにより、サイバーセキュリティ・チームは独自のセキュリティ・アーキテクチャのなかで、テクノロジへの投資からの価値創出を困難にしている複雑さを緩和し、相互運用性の欠如を軽減できるようになります」
最小労力で最大効果をもたらすツールを取り入れるには、まずテクノロジにかかる「人的コスト」を可視化し、削減します。これと並行して、アーキテクチャにも着目し、テクノロジの相互運用性と適応性を設計の原則とします。サイバーセキュリティ・メッシュ・アーキテクチャ (CSMA) の原則は、シンプルさ、コンポーザビリティ、相互運用性を考慮してセキュリティを設計する上で役立ちます。
先入観その3:サイバーセキュリティ専門家を増やす=よりセキュアになる
サイバーセキュリティ専門家が340万人不足しているといわれる一方で、需要は2022年だけでも65%増加しています。サイバーセキュリティ専門家の需要は供給を上回り、多くのCISOがこの問題を解消できずにいます。
テシェイラは次のように述べています。「セキュリティは、デジタル・トランスフォーメーションにおける大きなボトルネックとなっており、その大半は『本格的なサイバー対策を行えるのはサイバーセキュリティ専門家だけである』という先入観に由来するものです。人材がひっ迫する中で人材採用に躍起になるのではなく、サイバーセキュリティの専門知識を一般化することが重要な解決策の一つとなります」
現在、41%の従業員は非IT部門のビジネス・テクノロジストとしてテクノロジを獲得、適応、または構築していますが、この割合は2027年には従業員の77%に増加するとGartnerは予測しています。CISOは、こうしたビジネス・テクノロジストの最小労力で最大効果をもたらす専門知識 (サイバージャッジメント:従業員がサイバー情報に基づいて自律的に意思決定を下すための判断力) の習得を支援することで、チームの負担を軽減できます。Gartnerの最新調査では、高度なサイバージャッジメントを習得したビジネス・テクノロジストは、セキュリティ・リスクを半減させ、意思決定の判断を下すスピードが2.2倍早くなることが明らかになっています。
先入観その4:締め付けを強める=よりセキュアになる
Gartnerの最新調査によると、過半数の従業員がセキュリティの観点で安全でない行動を何かしらとっていると認識しています。また、93%の従業員は、自身のこうした行動が企業のリスクを増大させることを認めています。一方、平均的な企業は年間のサイバーセキュリティ予算のうち10%を従業員のサイバーセキュリティの意識向上プログラムに充てています。
テシェイラは次のように述べています。「従業員による安全でない行動が蔓延していることは、サイバーセキュリティ・チームもよく理解しています。しかし、セキュリティ・ルールの強化といった『締め付け』を強化するような典型的な対応は、逆効果でしかありません。従業員に安全な行動をとってもらうには、どれだけ従業員の協力を得られるかが重要になるのですが、それにはさまざまな不満や摩擦が生じるため、結果的に安全でない行動が発生しています。これは深刻な問題です」
サイバーセキュリティに起因する摩擦を最小限に抑えるには、サイバーセキュリティの従業員エクスペリエンスに注力する必要があります。最優先事項は、従業員が安全な行動を最も簡単に行えるようにすることです。最小労力で最大効果をもたらす従業員の手間のバランスがどこなのかを追求することで、従業員のユーザー・エクスペリエンスへの影響を最小限に抑えながら、コントロールの有効性のバランスを取ることができます。従業員に解決策を指示するのではなく、共創することが重要です。
サイバーセキュリティの取り組みから正しい価値をもたらすには、最小労力で最大効果をもたらすマインドセットが重要であり、実践する際に念頭に置くべき3つのポイントがあります。1つ目は、あらゆるものに対して最小労力で最大効果をもたらすために、「知見」「ツール」「専門知識」「従業員の手間」の観点から取り組みを推進する、2つ目は、あらゆる場所での人間中心のセキュリティ・デザインによるユーザー・エクスペリエンスを取り入れて、サイバージャッジメントを育成する、3つ目は、サイバーセキュリティ・メッシュを使用して、永続的に新しいツールを取り入れることです。
セキュリティ・リーダーは、「先入観」を払拭し、リスクを的確に捉えてビジネス部門と連携し、最大限のインパクトをもたらすことが求められています。
本日より3日間 (26~28日) にわたってANAインターコンチネンタルホテル東京にて開催しているガートナー セキュリティ&リスク・マネジメント サミットでは、セキュリティ/リスク・マネジメント (SRM) のリーダーが、即応性を持ってセキュリティ状況とそのためのテクノロジを評価し、その力を継続的に向上できるよう、さらなる分析や知見を提供しています。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
GartnerのeBook「Four Facets of Effective CISO Leadership」では、優れたサイバーセキュリティ・リーダーになるための方法を紹介しています。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。
