2025年7月23日

Gartner、高まる期待と注目を背景に、CISOが注力すべき戦略的重点領域を明らかに

「ガートナー セキュリティ&リスク・マネジメント サミット」(7月23~25日) において、CISOがハイプを有効活用して実質的な変化を促進できる重点領域についてアナリストが解説

 

ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、最高情報セキュリティ責任者 (CISO) がセキュリティに関する高まるハイプ (過度な期待) と注目をうまく活用し、ディスラプション (破壊的な混乱) を変革機会に変えるために、「ミッションとの整合」「イノベーションへの備え」「変化への柔軟性」という3つの領域に注力する必要があるとの見解を発表しました。

バイス プレジデント アナリストのリチャード・アディスコット (Richard Addiscott) は、次のように述べています。「多くの組織が、目標達成のために積極的にテクノロジ投資を行っており、特に生成AIのような先端的で期待が過度に高まっている領域に注力しています。生成AIのような試行段階の先端テクノロジについて、リーダーは将来を見据えて思い切った取り組みを推進しています。その一方で、関連するサイバーセキュリティのリスクの懸念も抱えています」

バイス プレジデント アナリストのマーク・ホーヴァス (Mark Horvath) は、次のように述べています。「実験的に導入されたテクノロジに起因するサイバー・インシデントが企業収益に影響を与えるようになり、経営幹部の間でサイバーセキュリティへの注目が高まっています。CISOは、ハイプの学び手として動向を読み解く力を養うことで、こうした注目の下でも自らの課題を推進できるようになります」

本日から開催しているガートナー セキュリティ&リスク・マネジメント サミットのオープニング基調講演において、CISOの未来のニーズを見据え、今日の複雑で急速に変化し、予測不可能な現実に対応するための3つの重要な領域について説明しました。

 

[Image Alt Text for SEO]

ガートナー セキュリティ&リスク・マネジメント サミットのステージで解説するアナリストのリチャード・アディスコットとマーク・ホーヴァス

1:ミッションとの整合

CISOは、サイバーセキュリティの取り組みが組織のミッションと一致していることを証明するために、サイバー投資の判断とリスクの影響が連動するものであることを、透明性をもって示す必要があります。

アディスコットは、次のように述べています。「変革への意欲が最高潮に高まっている時にこそ、CISOは現実とデータに基づいて人々を導く必要があります」

そのためにCISOは、サイバーセキュリティの保護レベルとリスクの現状を測定するアウトカム・ドリブン・メトリクス (ODM:成果主導の評価指標) を特定することから始めなければなりません。

アディスコットは、次のように補足しています。「CISOは、ODMを活用することで、透明性を持ってコミュニケーションをとり、保護レベル (期待されるパフォーマンス) について企業と合意形成ができます。ODMは、現在のリスク・レベルを明示し、取締役会、CEO、CIOなどのステークホルダーとの間で、目標値について対話を促進する材料となります」

ODMを確立したら、CISOは次に保護レベル合意 (PLA: Protection Level Agreement) を検討する必要があります。PLAは、ミッションに合致した透明性を実現するために役立ちます。サイバーセキュリティの望ましい保護レベルを達成するために、企業がどの程度支出する意思があるかを正式に合意するものとなります。

「CISOは、保護レベルや投資によるリスク軽減の観点からコミュニケーションを行うことで、他者のマーケティング上の誇大表現に振り回されにくくなります。結果として、サイバーセキュリティへの取り組みと組織のミッションとの整合を証明できます」(アディスコット)

2:イノベーションへの備え

CISOは、サイバーセキュリティでAIを活用した革新を推進すべきです。この取り組みにより、組織の長期的なAIの目標全体を支えることが可能となります。

アディスコットは、次のように述べています。「サイバーセキュリティは、多くの企業がAIの実験を開始し、実際の価値を見出す最初の領域であるべきです」

CISOは、組織の長期的なAIの目標を実現するために、以下の3つのステップを検討すべきです。

  • 自分自身とチームのAIリテラシーを育成する
  • コード解析、脅威ハンティング/脅威モデリング、ユーザーの振る舞い分析など、サイバーセキュリティ領域でAIを実験的に使用する
  • プロンプト、入力/出力ストレージを保護するためのデータ保持ポリシーの改訂、カスタム構築された生成AIに対する包括的なリスク評価の実施、規制遵守監査の実施などの措置を講じることにより、組織におけるAI投資を保護する

3:変化への柔軟性

CISOは、AIがもたらすセキュリティリスクの高まりや、AIを活用した内部脅威やアタック・サーフェス (攻撃対象領域) の拡大を、誰よりも理解しています。

ホーヴァスは、次のように述べています。「これらの影響が重なることで状況が複雑化し、判断が難しくなります。そのため、変化に向き合うには、ハイプの学び手としての視点が必要です。組織の変革は、ハイプに後押しされると同時に、ハイプによる制約も受けます。CISOがハイプの流れを理解すれば、そのエネルギーを前向きに活用することができます。企業としての危機感から、相反する多くのイニシアティブがあらゆる方面からCISOに寄せられることもあるでしょう。しかし、ハイプの学び手になることで、CISOはハイプの変革エネルギーを見極め、チームやビジネス部門のパートナーに生じる影響の波を先読みできるようになります」

変化への抵抗感やAIに対する懸念が従業員の間で高まっている現在、CISOは燃え尽き症候群の兆候に注意を払う必要があります。この問題は、予期しない突然の変化、主体性の欠如、退屈な反復作業などによって発生する可能性があります。

アディスコットは、次のように述べています。「CISOは、チームが主体性を持って行動できるよう後押しし、メンバー自身が解決に関わっていると感じられる環境を整える必要があります。メンバーが主体性を感じられるようになることで、反復作業の自動化や新しいスキルの習得に意欲的に臨むようになり、それがCISO自身とメンバー双方の成長を促進します。こうした取り組みにより、メンバーは変革の担い手として、どのような変化にも柔軟に対応できるようになります」

人とテクノロジの両方のニーズに応えるサイバーセキュリティ戦略の策定方法については、こちらの無料ガイド (英文) でご確認いただけます。

Gartner for Cybersecurity Leadersについて

Gartner for Cybersecurity Leadersでは、セキュリティ・リーダー (CISOs) が役割を再定義し、セキュリティ戦略をビジネス目標に整合させ、セキュリティ保護と組織のニーズのバランスを取るプログラムを構築できるよう支援します。詳細は以下よりご確認いただけます。https://www.gartner.co.jp/ja/cybersecurity

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXLinkedInFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。

ガートナー セキュリティ&リスク・マネジメント サミットについて

本日~7月25日までグランドニッコー東京 台場にて開催中の「セキュリティ&リスク・マネジメント サミット」では、「デジタル環境激変期:自ら取り組み、統率し、革新する」をテーマに、セキュリティ/リスク・マネジメントのリーダーおよびセキュリティの担当者が押さえておくべき最新トレンド、ベスト・プラクティス、重要課題の解決に向けた知見やガイダンスを提供しています。コンファレンスのニュースと最新情報は、XLinkedInFacebookでご覧いただけます (#GartnerSEC)。

報道関係各位からのお問い合わせ先



最新のプレスリリース

Gartner について

Gartner, Inc. (NYSE: IT) は、お客様の重要な課題において、より優れた意思決定と大きな成果を創出し、実行可能かつ客観的なビジネスおよびテクノロジのインサイトを提供します。詳細については下記Webサイトでご覧いただけます。