ガートナーのアナリストは、セキュリティ・リーダーに向けて、セキュリティに関する従来の、そして新たな課題を解決するために、「人、プロセス、テクノロジを適応させるための拡張」「リスク・ガバナンスへのアプローチを変え、継続性と包括性を高めるための拡張」「スタッフ増員以外の方法でセキュリティ機能を増強するための拡張」を、それぞれどのように行うべきかについて、ガイダンスを提供した。
これらの拡張は、「何が重要なのか」「何が危険なのか」「何が現実解なのか」という3つのシンプルな質問によって把握することができる。ガートナーのアナリストは、一連のシナリオを通じて議論を展開した。
「何が重要なのか」:組織全体の視点でリスクを捉える
ガートナーは、すべてのイニシアティブに対して、組織全体の視点でリスクを捉えることをセキュリティ・リーダーに提案している。従来、リスクは狭い視野(通常はリスク・オーナーの視点)で捉えられてきた。
ガートナーの主席アナリストのサム・オーヤイー氏は、「狭い視野を乗り越える上で大きな助けになるプラクティスがあります。まず、リスクのオーナーシップと責任を明確にして、説明責任という組織文化を確立、支援します。次に、組織全体のリスク一覧表 (リスク・レジスタ) を作成し、すべてのリスク領域の中で最優先に取り組むべきものを明確にします。そして最後に、リスクとその対策を、ビジネスの目的と目標に対して確実にマッピングします」と述べている。
ビジネス上のリスクはサイバーリスクに由来する場合もある。リスク全体の中に占めるサイバーリスクの重大性は、ますます高まっている。この部分への対策として、統合リスク管理(IRM)が重要となる。
オーヤイー氏は、「IRMによって、リスクの優先順位付けおよびリスク対策計画との関連付けを、容易かつシンプルに行えます。サイバーセキュリティおよびテクノロジのリスクを、さらに幅広く運用リスクと統合させ、先を見通すリスク監視の基盤を確立することをガートナーは推奨します。また、リスクに関する評価指標を定義してリスクを測定するとともに、リスクの予兆となる指標を特定します」と述べている。
「何が危険なのか」:資産とエコシステムへの可視性を構築する
企業のエコシステムが拡大するに伴い、エコシステム内における相互の関連性を把握することは、ほぼ不可能になる。ある問題がエコシステム内に波及して広がっていくと、予期せぬ結果を引き起こす可能性が高まるが、そこでのオーバーリアクションはむしろマイナスの影響をもたらすと、ガートナーのアナリストは述べている。
ガートナーのリサーチ バイス プレジデント兼最上級アナリストのニール・マクドナルド氏は、「2017年に一般に公開された脆弱性は、1万5,000件を超えています。しかし、重大性および緊急性が最も高いとされた脅威は、このうちのわずかです。大抵の場合、状況を評価して慎重に対応するための時間が、ある程度あります。しかし、主要メディアで盛んに報じられることにより、時としてこれらの脅威があっという間に最優先で取り組むべき対象に変わることがあります」と述べている。
例えば、注目されるセキュリティ・リスクが常に存在する一方で、データを見れば、過去10年を通じて侵害対象となった脆弱性は実際には全体のわずか8分の1でしかないことが明らかだとマクドナルド氏は述べている。
セキュリティの脅威への対応では、信頼関係の課題の解決に重点が置かれがちだが、セキュリティ・リーダーは、レジリエンス(回復力)の目標から逸れないようにしなければならない。組織的なレベルから技術的なレベルまで、レジリエンスは複数のレベルを網羅するよう設計する必要がある。
マクドナルド氏は、「レジリエンスには全社規模の視点で取り組み、ビジネス・パートナーやITパートナーと連携してレジリエンスの目標を設定します。次に、危機管理およびコミュニケーション計画を策定することで、条件反射的な対応や習慣的な対応が引き起こすリスクを軽減します。3番目に、高可用性のためだけではなく、リカバリと継続性も含めたテクノロジとプロセスを構築します。最後に、これらのリカバリおよび継続性の計画の有効性を実証するために、何度もテストをくり返すべきです」と述べている。
「何が現実解なのか」:他者への権限の強化を通じてリスク・マネジメントを拡張する
セキュリティ・リーダーには、環境とリスクの適切なコントロールが求められる。そうしたコントロールは、1社のベンダーや1つのテクノロジだけではなく、複数のベンダーやテクノロジに適用できるとともに、リスクおよびコンプライアンスの環境が発展するのに合わせて変えられるものである必要がある。
ガートナーのリサーチ バイス プレジデント、ピーター・ファーストブルック氏は、「アダプティブなコントロールによって、セキュリティはテクノロジのイネーブラへと変化します」と述べている。
ファーストブルック氏は、成功の可能性を飛躍的に高めるためには、社内の他者への働き掛けが重要であるとしている。さらに、ファーストブルック氏は、次のようにも述べている。
「ビジネス・プロセスのオーナーおよびITチームは、効果的なリスク・マネジメントのために、それぞれの専門知識を提供しなければなりません。これによって、リスクのプロフェッショナルは、変化するテクノロジとビジネスの現実を理解できるようになります。他の役割を担うユーザーがリスク・プロフェッショナルからのガイダンスとアドバイスを受けて、それぞれの職務においてリスク・ベースの考え方を採り入れられるよう、奨励していくべきです。このようにしてセキュリティの変革と規模の拡大を行うことは、セキュリティに関わる全員にメリットをもたらすWin-Winの手段となります」。
ガートナーは7月24日~26日に開催中の「ガートナー セキュリティ&リスク・マネジメント サミット 2018」で、国内外のアナリストならびにコンサルタントが、どのようにリーダーシップ能力を研鑽し、世界的に高まっているセキュリティ・リスクの問題に対してセキュアなデジタル・ビジネスを実現していけばよいのかについて、幅広いトピックにおける最新のトレンドや最先端の知見や洞察を提供するとしている。
