SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

EnterpriseZine Press

ガートナーのアナリストが提言、「5つのD」で考えるサイバーリスクマネジメント戦略

「ガートナー セキュリティ & リスク・マネジメント サミット2023」レポート

 2023年7月に開催された「ガートナー セキュリティ&リスク・マネジメント サミット」において、セキュリティリーダーが直面する拡大するリスク範囲への対処法が紹介された。中でも特筆すべきは、ビジネスオペレーションの保護とリスク軽減の両立を追求する「5Dモデル」だ。ガートナーのアナリストはサイバーリスクマネジメントの要件を「動的(Dynamic)」「分散型(Distributed)」「ディフェンシブル(Defensible)」「データドリブン(Data-Driven)」「意思決定促進(Decision Enabling)」の5つのDで整理し、これらの概念が今後のリスク管理における新たな方向性を示していると強調した。

経営層の理解を深化する:サイバーリスクと対策の共有

Gartner バイス プレジデント, アナリスト ジェイ・ハイザー氏
Gartner バイス プレジデント, アナリスト ジェイ・ハイザー氏

 ビジネスを取り巻く環境は世界的に大きな変化の影響を受けている。特に最近は、図1で示すような多くの要因が、ビジネスを支えるデジタル環境に変化を及ぼしている。過熱する生成AIブームも無関係ではない。セキュリティチームの仕事のやり方も変わろうとしている。しかし、どんなセキュリティインシデントであっても、阻止できる体制を整えている企業がどれだけあることか。経営層の期待は高まっているが、追随できているかは別の話だ。だからと言って、昔ながらの「パスワードは定期的に変えましょう」と社員に促すような仕事ばかりを続けるわけにもいかない。セキュリティリーダーには、組織のサイバーリスクを軽減する役割が期待されている。

図1:現在のサイバーリスクマネジメントに影響を与えている要因 出典:Gartner(2023年7月)
図1:現在のサイバーリスクマネジメントに影響を与えている要因 出典:Gartner(2023年7月) [画像クリックで拡大]

 そもそもサイバーリスクとは何か。ハイザー氏は「組織のビジネスゴールや価値観に影響を及ぼす可能性のあるリスクのこと」と説明する。その影響は従業員だけに留まるとは限らない。顧客、パートナーまで害が及ぶこともありうる。このリスクに対処するには、組織がサイバーリスクマネジメントを実行する際は、「計画」「保護」「監視」のライフサイクルアプローチが効果的と述べた。このアプローチは、ビジネスへの影響度を評価し、リスクを特定する「計画」、コントロールを設定し、予算内でリスクに対処する「保護」、リスクの兆候を監視しつつ、経営層と対話する「監視」に分解できる。

 経営層のサイバーセキュリティに関する認識も変化している。もっと理解を深めてもらうためにも、セキュリティチームは、サイバーリスクマネジメントで自分たちがやっている仕事の内容を説明する必要がある。「特に、セキュリティチームが全てをできるわけではないこと、最も重要だと考えていることだけに特化していること、そのための仕組みを理解してもらわなくてはならない」とハイザー氏は訴えた。

「5Dモデル」に基づくサイバーリスクマネジメント:動的な対応と分散型コントロールの重要性

 続けてハイザー氏は、ガートナーではサイバーリスクマネジメントの要件を「動的(Dynamic)」「分散型(Distributed)」「ディフェンシブル(Defensible)」「データドリブン(Data-Driven)」「意思決定促進(Decision Enabling)」の5つで整理していると紹介した(図2)。この要件はいずれもDで始まるため、ガートナーでは「5Dモデル」と呼んでいる。

図2:サイバーリスクマネジメントの5Dモデル 出典:Gartner(2023年7月)
図2:サイバーリスクマネジメントの5Dモデル 出典:Gartner(2023年7月) [画像クリックで拡大]

動的(Dynamic)

 図1で示したような環境変化に対応するには、リスクマネジメントでも動的であるべきだ。すなわち、チェックリストでリスクの評価を行うような仕事のやり方ではなく、リスクの兆候に対して、適切なタイミングで手を打つ俊敏性が求められるようになってきたということだ。

 動的なサイバーリスクマネジメントを実践する上で参考になるのが、リスクトリアージの考え方である。トリアージの考え方は、戦場で医師が怪我をした多くの負傷者のうち、緊急度の高い患者に優先的に治療を行ったことに由来する。仮に5人の患者がいたら、誰を優先的に手当てするのかを決めなくてはならない。残念ながら、選んだ患者を助けられるとは限らない。最悪の場合、5人全員を失うかもしれない。トリアージの考え方をサイバーリスクマネジメントに導入する場合も同様に、同じ問題に直面する可能性はある。

 だとしても、刻々と変化する環境に適応するには、できるだけ早く意思決定を行うことが不可欠だ。ハイザー氏は専用のツールを導入し、ワークフローにトリアージを組み込むことを勧めた。そうすれば、十分なデータを得た上で意思決定ができる。

分散型(Distributed)

 データドリブン経営の実践が進むにつれて、企業の意思決定は、本社が一元的に行うものではなくなりつつある。この現状を踏まえると、サイバーリスクマネジメントも分散型に変わるべきだ。これは、セキュリティチームの一員でなくても、サイバーセキュリティに関する質の高い意思決定をできるようにすることでもある。今のセキュリティチームは本社で仕事をしている。組織のリスクコントロールも中央集権型が主流だろう。これを改め、ビジネス部門でも、サプライヤーでも、サイバーリスクマネジメントができるようにしたい。

 分散型のコントロールは可能なのか。ハイザー氏は、「ビジネス目標の達成を前にすると、従業員の7割以上がサイバーセキュリティポリシーに違反する」というデータを紹介し、目の届くところにいないビジネス部門にポリシーを守ってもらうには、新しい仕組みが必要になることを示した。セキュリティチームは「彼らは私たちの話を聞いてくれない」と考えるが、実のところビジネス部門はセキュリティポリシーを気にする余裕がない。違反せざるを得ない状況に置かれている。このジレンマを解消するには、「セキュリティポリシーを自動的に適用するツールを導入することが効果的」とハイザー氏は説明した。自動化が進めば、ビジネス部門が摩擦を感じることなく、セキュアな環境でビジネスを行えるようになるだろう。

次のページ
データドリブンになるプログラムのパフォーマンス管理

NEXT

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

冨永 裕子(トミナガ ユウコ)

 IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18240 2023/08/24 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソフトウェアサプライチェーンのリスク管理は必須事項に、NRIセキュアが指南する「開発部門だけに押し付けない」対応策
  3. 3
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  4. 4
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  5. 5
    取引先など組織のセキュリティを5段階で評価、スコアAとFではサイバー侵害の可能性は最大13倍以上
  6. 6
    ハードニング実践!構成レビューをやってみよう NEW
  7. 7
    Oktaへの不正アクセス事例からサプライチェーン攻撃を考える、狙われる社員の個人用クラウドサービス
  8. 8
    ヴィッセル神戸の“継続的に勝てる”チームづくり データプラットフォーム部の立ち上げで変革へ
  9. 9
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  10. 10
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  3. 3
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  6. 6
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  7. 7
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  8. 8
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    創業28年目のディップは“敏腕CIO”の登用でAI活用を加速、コスト削減ではなく「機会創出」に注力へ

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  2. 2
    ソフトウェアサプライチェーンのリスク管理は必須事項に、NRIセキュアが指南する「開発部門だけに押し付けない」対応策
  3. 3
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  4. 4
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  5. 5
    取引先など組織のセキュリティを5段階で評価、スコアAとFではサイバー侵害の可能性は最大13倍以上
  6. 6
    ハードニング実践!構成レビューをやってみよう NEW
  7. 7
    Oktaへの不正アクセス事例からサプライチェーン攻撃を考える、狙われる社員の個人用クラウドサービス
  8. 8
    ヴィッセル神戸の“継続的に勝てる”チームづくり データプラットフォーム部の立ち上げで変革へ
  9. 9
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  10. 10
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  3. 3
    パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
  4. 4
    グーグルが「Google Cloud Next '24」で発表した「生成AIエージェント」戦略とは?
  5. 5
    人的資本経営の潮流で“ERP選定眼”に変化か 大手企業での導入進むjinjerに訊く
  6. 6
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  7. 7
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  8. 8
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    創業28年目のディップは“敏腕CIO”の登用でAI活用を加速、コスト削減ではなく「機会創出」に注力へ