SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

Gartner、CISOがサイバーセキュリティ機能を拡張し、価値を創出する3つの重点分野について発表

 ガートナージャパン(以下、Gartner)は、最高情報セキュリティ責任者(以下、CISO)をはじめとするセキュリティ/リスク・マネジメントのリーダーは、「対応/復旧」の優先度を「防御」と同じレベルまで引き上げることで、「失敗は断じて許さない」という古い考えよりも高い価値を生み出せるとの見解を発表した。

 Gartnerは、対応/復旧の優先度を防御と同じレベルまで引き上げるサイバーセキュリティ機能を「サイバーセキュリティの拡張」と呼んでいる。この機能の実現に向けた取り組みを始めるため、CISOは、「失敗を許容する組織」「最小の労力で最大の効果をもたらすツール」「レジリエントなサイバー人材」という3つの活動領域に注力すべきだという。

失敗を許容する組織を構築する

 Gartnerは、CISOに対し、サイバーセキュリティの防御面の対策が明らかに成果を挙げていないビジネス活動の2つの領域、「生成AI」と「サードパーティ利用」に焦点を当てることで、失敗を許容する組織の構築に取り組むことを推奨している。

 生成AIのように急速に進化するテクノロジーに関しては、すべての攻撃を常に防ぐことは不可能だという。組織が生成AIの活用を成功させるには、不可避な問題に適応し、対応/復旧する能力が必要である。したがって、成果を挙げているCISOは、防御を中心に据えた生成AIのガイダンスの補完として、「サイバーセキュリティの拡張」のためのハンドブックを利用しているという。

 サードパーティによるサイバーリスク・マネジメントに関しては、サイバーセキュリティ部門が労力を投じても、リスクの高いサードパーティの利用がなくなることはない。サイバーセキュリティが真に効果を生み出すには、デュー・デリジェンスの質問を増やすことではなく、ビジネス部門がサードパーティのインシデントに特化した事業継続管理を確実に文書化/テストすることが必要とのことだ。

 CISOは、出口戦略、代替サプライヤーのリスト、インシデント対応プレイブックなどを含む、サードパーティに関するコンティンジェンシー・プランを正式に策定するよう、事業推進責任者を導く必要があるという。様々な領域で事業継続管理(BCM)を導入しているCISOは、これからはサードパーティ・サイバーリスク・マネジメントに関しても事業継続管理を取り入れることが求められるだろうと同社は述べている。

最小の労力で最大の効果をもたらすツールを追求する

 CISOは、使用期限を過ぎた古いツールを使い続ける一方で、付随するコストや管理の複雑さを十分に理解しないまま、新しいツールを性急に導入しているという。やみくもにツールを購入せず、組織のエクスポージャーの悪用に対する観測/防御/対応に必要な最小限のツールを採用するという原則を受け入れる必要があると同社は述べている。これを実現するために、推奨される活動は次のとおり。

  • コントロール・フレームワークにツールセットを対応させて、冗長や不足を特定する
  • 機能性だけでなく、実装リスクに関しても、テクノロジー面での概念実証(POC)を実施する
  • 生成AIを活用した効率化を積極的に追求し、生成AIによる拡張を模索する

レジリエントなサイバー人材を生み出す

 レジリエントなサイバー人材を育成するために、推奨される活動は次のとおり。

  • 従業員支援プログラムにセルフケアを組み込む:たとえば、インシデント発生時のカウンセリングやストレス緩和策などのウェルビーイング・プログラムを、従業員支援プログラムに組み込む
  • レジリエンスを真の能力のように扱い、従業員のレジリエンス向上を支援する:技術的コンピテンシーや、その他のコンピテンシーを育成する場合と同じように、レジリエンスを真の能力として扱う
  • 業務プロセスを見直して、燃え尽き症候群を減らす:従業員を巻き込んで、業務上の摩擦がどこで発生しているかを把握し、ボトルネックを減らし、自動化を活用することで、従業員が真に必要な活動にエネルギーを集中できるようにする

 CISOは、上記の支援を従業員に提供することに加えて、これまでの無事故の実績を数字で示すことや、自身が失敗した例や、その経験から学んだことを率先して共有することも有効だとしている。

【関連記事】
サイバーリーズン、中堅企業向けのエンドポイントセキュリティソリューションを発表 8月中旬から受注開始
LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査
ジオテクノロジーズ、「CSIRT MT.mss」導入で情シスが脆弱性モニタリング注力可能に

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20102 2024/07/25 17:30

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング