ガートナージャパン(以下、Gartner)は、サイバーセキュリティにおいて払拭すべき4つの「先入観」を発表した。
同社は、セキュリティにおいて打破しなければならない4つの主な先入観を明らかにし、セキュリティリーダーがビジネスのエンゲージメント、テクノロジ、人材にわたって新たな価値をもたらすために押さえておくべきポイントを解説している。
今回発表した4つの先入観は、以下のとおり。
1. リスク分析を増やす
一般的に、サイバーセキュリティのイニシアティブで幹部レベルの意思決定者の行動を促すには、サイバーイベントの発生可能性を算出するなど高度なデータ分析を行うことが最善であると考えられている。しかし、このような方法ですべてのリスクを定量化することは現実的ではないという。この情報だけでは、セキュリティリスクがもたらすビジネスリスクに対し、誰がどのように対処し責任を負うのか、CISOと経営者が実行すべき次の行動に、直接結びつかないからだとしている。
また、ビジネスを推進するために、やみくもに高度なリスク分析を増やすことは逆効果であるとのこと。CISOは、最小労力で最大効果をもたらす知見に基づいて行動を取るために、Gartnerの成果主導の評価指標(ODM:Outcome-Driven Metrics)を使用すべきだとした。
2. ツールを増やす
ほとんどの企業が新しいテクノロジの獲得を検討していることが同社に寄せられる問い合わせの傾向から明らかになっているとのこと。一方で、そうした企業は、サイバーセキュリティツールやテクノロジへの支出を増やしているにもかかわらず、セキュアになった実感は得られないと感じているという。
最小労力で最大効果をもたらすツールを取り入れるには、まずテクノロジにかかる「人的コスト」を可視化、削減し、これと並行して、アーキテクチャにも着目して、テクノロジの相互運用性と適応性を設計の原則とする。サイバーセキュリティ・メッシュ・アーキテクチャ(CSMA)の原則は、シンプルさ、コンポーザビリティ、相互運用性を考慮してセキュリティを設計する上で役立つとしている。
3. サイバーセキュリティ専門家を増やす
サイバーセキュリティ専門家が340万人不足しているといわれる一方で、需要は2022年だけでも65%増加。サイバーセキュリティ専門家の需要は供給を上回り、多くのCISOがこの問題を解消できずにいるという。
現在、41%の従業員は非IT部門のビジネステクノロジストとしてテクノロジを獲得、適応、または構築しているが、この割合は2027年には従業員の77%に増加するとGartnerは予測している。CISOは、こうしたビジネステクノロジストの最小労力で最大効果をもたらす専門知識の習得を支援することで、チームの負担を軽減できるとしている。
4. 締め付けを強める
Gartnerの最新調査によると、過半数の従業員がセキュリティの観点で安全でない行動を何かしらとっていると認識。また、93%の従業員は、自身のこうした行動が企業のリスクを増大させることを認めているという。一方、平均的な企業は年間のサイバーセキュリティ予算のうち10%を従業員のサイバーセキュリティの意識向上プログラムに充てているとした。
サイバーセキュリティに起因する摩擦を最小限に抑えるには、サイバーセキュリティの従業員エクスペリエンスに注力する必要があり、最優先事項は、従業員が安全な行動を行えるようにすることだという。最小労力で最大効果をもたらす従業員の手間のバランスがどこなのかを追求することで、従業員のユーザーエクスペリエンスへの影響を最小限に抑えながら、コントロールの有効性のバランスを取ることができるとのこと。従業員に解決策を指示するのではなく、共創することが重要だとしている。
【関連記事】
・国内企業の半数以上がCSIRTを設置も、うち6割超がインシデントに対応に自信なし──ガートナーが発表
・80%以上の日本企業がソフトウェア・クラウド契約に不満──ガートナー調査
・SASE関連サービスを導入する国内企業は4割程度──ガートナーが調査結果を発表