ガートナージャパン(Gartner)は、日本のセキュリティ/リスクマネジメント(SRM)のリーダーが2023年に押さえておくべき重要な論点を発表。同社バイスプレジデントアナリストの礒田優一氏が、人中心のセキュリティにおける重要性を解説した。
「誰の何が良くなるのかを考えるセキュリティ」へ
セキュリティについて経営幹部に説明する際は、細かな機能面の説明をするのではなく、個人情報漏洩、サイバー攻撃、規制法案など、ビジネスの観点からトップリスク、ビジネスへの影響を示しながら、戦略的なストーリーを展開し、説明することが重要。経営陣の疑問や関心に答える指標を提示し、セキュリティの取り組みに対して納得してもらう必要があるという。
SRMリーダーは、ビジョン、戦略を策定し、メンバーに示すとともに、経営者からもコンセンサスを得ることにより、セキュリティ組織の社内的なポジションを向上させ、明るいキャリアプランを示すことが可能になるとしている。
セキュリティ人材の強化
セキュリティ人材の強化に向けて、SRMリーダーは以下の3つのステップを押さえておく必要があるという。
- サイバーセキュリティの知識/スキルの一覧をもとに、ギャップ分析を行う
- 自社のデジタル戦略およびセキュリティのトレンドを踏まえて、インソーシングで賄う領域を調整する
- 新たな時代に向けてビジョン/戦略/フィロソフィを策定し、内発的動機を促す
これからの時代のセキュリティ人材の強化に当たっては、「マイクロマネジメント」から「人中心マネジメント」への転換が不可欠だとしている。礒田氏は、次のように述べている。
「現在は、すべてのタスクを人間が実施する必要はない世の中になっています。2023年に入り大きな話題となっているChatGPTは、セキュリティ・オペレーション、インシデント対応、アプリケーション・セキュリティなどの領域で既に実装が始まっています。AI、自動化によって、人は、作業から解放され、その分の時間を自己投資に充てることができます」
セキュリティ領域のテクノロジ・トレンドを押さえる
SRMリーダーは、人が健康的にパフォーマンスを発揮し、継続的に高い成果を上げることのできる環境を醸成することが重要だという。礒田氏は、「メンバーが自ら学び成長していくためには、まずはリーダー自身が賢くなり、最新のトレンドを踏まえた議論に広く対応できるような感度を常に養っておくことが重要です」と述べている。
急速に進化するビジネスニーズと攻撃対象の拡大に対応するためには、これまでのオペレーションを変えていく必要があり、たとえば、継続的な脅威エクスポージャー管理(CTEM)はその点で重要性を増しているとのこと。また、ベンダーの整理統合といったトレンド(SASE、XDRやクラウド関連のセキュリティの領域など)にも着目し、取り組みを進める必要があるという。
分散型の意思決定に進化させる
すべてを中央のIT部門やセキュリティ部門のみで管理するには限界があり、分散型の意思決定の議論が重要になっているとのこと。「禁止」するセキュリティ対策は機能せず、人に自由を与えるセキュリティへと転換を図る必要があるという。デジタルの取り組みが進む現場においては、完璧や詳細を求めるようなガイドラインを作成したとしても、無視され、陳腐化する可能性が高いとしている。
新たな時代に向けて
ChatGPTなどの生成AIのトレンドをはじめとするテクノロジ・トレンドは日々変化しており、これからのデジタル時代のセキュリティは、サイバーセキュリティの脅威はもとより、こうしたデジタル・トレンドに合わせ、絶えず適応していく必要に迫られるという。
礒田氏は次のように述べている。
「動物は(人も)『よくわからないもの』に対し本能的に恐怖を感じます。漠然とした恐怖や不安を取り除くには、それについて『理解』することが重要です。AIのリスクとは、漏洩やプライバシー、偽情報だけでありません。AI規制が進む背景への理解が必要です。また同時に、テクニカルなリスクについても押さえる必要があります。パブリックな大規模言語モデル(LLM)のみでなく、自社用にLLMを構築する例が今後さらに増えますが、そこでは様々なリスクが潜んでいます。AI TRiSM(AIの信頼性/リスク/セキュリティ管理)の観点で、AIの確実性、信頼性、セキュリティ、データ保護といった対策を押さえて、新しい能力を獲得する必要があります」
【関連記事】
・ガートナー、サイバーセキュリティにおいて払拭すべき4つの「先入観」を発表
・国内企業の半数以上がCSIRTを設置も、うち6割超がインシデントに対応に自信なし──ガートナーが発表
・80%以上の日本企業がソフトウェア・クラウド契約に不満──ガートナー調査
