SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

ガートナー、サイバーセキュリティにおいて払拭すべき4つの「先入観」を発表

 ガートナージャパン(以下、Gartner)は、サイバーセキュリティにおいて払拭すべき4つの「先入観」を発表した。

 同社は、セキュリティにおいて打破しなければならない4つの主な先入観を明らかにし、セキュリティリーダーがビジネスのエンゲージメント、テクノロジ、人材にわたって新たな価値をもたらすために押さえておくべきポイントを解説している。

 今回発表した4つの先入観は、以下のとおり。

1. リスク分析を増やす

 一般的に、サイバーセキュリティのイニシアティブで幹部レベルの意思決定者の行動を促すには、サイバーイベントの発生可能性を算出するなど高度なデータ分析を行うことが最善であると考えられている。しかし、このような方法ですべてのリスクを定量化することは現実的ではないという。この情報だけでは、セキュリティリスクがもたらすビジネスリスクに対し、誰がどのように対処し責任を負うのか、CISOと経営者が実行すべき次の行動に、直接結びつかないからだとしている。

 また、ビジネスを推進するために、やみくもに高度なリスク分析を増やすことは逆効果であるとのこと。CISOは、最小労力で最大効果をもたらす知見に基づいて行動を取るために、Gartnerの成果主導の評価指標(ODM:Outcome-Driven Metrics)を使用すべきだとした。

2. ツールを増やす

 ほとんどの企業が新しいテクノロジの獲得を検討していることが同社に寄せられる問い合わせの傾向から明らかになっているとのこと。一方で、そうした企業は、サイバーセキュリティツールやテクノロジへの支出を増やしているにもかかわらず、セキュアになった実感は得られないと感じているという。

 最小労力で最大効果をもたらすツールを取り入れるには、まずテクノロジにかかる「人的コスト」を可視化、削減し、これと並行して、アーキテクチャにも着目して、テクノロジの相互運用性と適応性を設計の原則とする。サイバーセキュリティ・メッシュ・アーキテクチャ(CSMA)の原則は、シンプルさ、コンポーザビリティ、相互運用性を考慮してセキュリティを設計する上で役立つとしている。

3. サイバーセキュリティ専門家を増やす

 サイバーセキュリティ専門家が340万人不足しているといわれる一方で、需要は2022年だけでも65%増加。サイバーセキュリティ専門家の需要は供給を上回り、多くのCISOがこの問題を解消できずにいるという。

 現在、41%の従業員は非IT部門のビジネステクノロジストとしてテクノロジを獲得、適応、または構築しているが、この割合は2027年には従業員の77%に増加するとGartnerは予測している。CISOは、こうしたビジネステクノロジストの最小労力で最大効果をもたらす専門知識の習得を支援することで、チームの負担を軽減できるとしている。

4. 締め付けを強める

 Gartnerの最新調査によると、過半数の従業員がセキュリティの観点で安全でない行動を何かしらとっていると認識。また、93%の従業員は、自身のこうした行動が企業のリスクを増大させることを認めているという。一方、平均的な企業は年間のサイバーセキュリティ予算のうち10%を従業員のサイバーセキュリティの意識向上プログラムに充てているとした。

 サイバーセキュリティに起因する摩擦を最小限に抑えるには、サイバーセキュリティの従業員エクスペリエンスに注力する必要があり、最優先事項は、従業員が安全な行動を行えるようにすることだという。最小労力で最大効果をもたらす従業員の手間のバランスがどこなのかを追求することで、従業員のユーザーエクスペリエンスへの影響を最小限に抑えながら、コントロールの有効性のバランスを取ることができるとのこと。従業員に解決策を指示するのではなく、共創することが重要だとしている。

【関連記事】
国内企業の半数以上がCSIRTを設置も、うち6割超がインシデントに対応に自信なし──ガートナーが発表
80%以上の日本企業がソフトウェア・クラウド契約に不満──ガートナー調査
SASE関連サービスを導入する国内企業は4割程度──ガートナーが調査結果を発表

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/18142 2023/07/26 17:15

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング