SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

ガートナー、日本のセキュリティ・リスクマネジメントにおいてリーダーが押さえておくべき論点を発表

 ガートナージャパン(Gartner)は、日本のセキュリティ/リスクマネジメント(SRM)のリーダーが2023年に押さえておくべき重要な論点を発表。同社バイスプレジデントアナリストの礒田優一氏が、人中心のセキュリティにおける重要性を解説した。

「誰の何が良くなるのかを考えるセキュリティ」へ

 セキュリティについて経営幹部に説明する際は、細かな機能面の説明をするのではなく、個人情報漏洩、サイバー攻撃、規制法案など、ビジネスの観点からトップリスク、ビジネスへの影響を示しながら、戦略的なストーリーを展開し、説明することが重要。経営陣の疑問や関心に答える指標を提示し、セキュリティの取り組みに対して納得してもらう必要があるという。

 SRMリーダーは、ビジョン、戦略を策定し、メンバーに示すとともに、経営者からもコンセンサスを得ることにより、セキュリティ組織の社内的なポジションを向上させ、明るいキャリアプランを示すことが可能になるとしている。

セキュリティ人材の強化

 セキュリティ人材の強化に向けて、SRMリーダーは以下の3つのステップを押さえておく必要があるという。

  • サイバーセキュリティの知識/スキルの一覧をもとに、ギャップ分析を行う
  • 自社のデジタル戦略およびセキュリティのトレンドを踏まえて、インソーシングで賄う領域を調整する
  • 新たな時代に向けてビジョン/戦略/フィロソフィを策定し、内発的動機を促す

 これからの時代のセキュリティ人材の強化に当たっては、「マイクロマネジメント」から「人中心マネジメント」への転換が不可欠だとしている。礒田氏は、次のように述べている。

 「現在は、すべてのタスクを人間が実施する必要はない世の中になっています。2023年に入り大きな話題となっているChatGPTは、セキュリティ・オペレーション、インシデント対応、アプリケーション・セキュリティなどの領域で既に実装が始まっています。AI、自動化によって、人は、作業から解放され、その分の時間を自己投資に充てることができます」

セキュリティ領域のテクノロジ・トレンドを押さえる

 SRMリーダーは、人が健康的にパフォーマンスを発揮し、継続的に高い成果を上げることのできる環境を醸成することが重要だという。礒田氏は、「メンバーが自ら学び成長していくためには、まずはリーダー自身が賢くなり、最新のトレンドを踏まえた議論に広く対応できるような感度を常に養っておくことが重要です」と述べている。

 急速に進化するビジネスニーズと攻撃対象の拡大に対応するためには、これまでのオペレーションを変えていく必要があり、たとえば、継続的な脅威エクスポージャー管理(CTEM)はその点で重要性を増しているとのこと。また、ベンダーの整理統合といったトレンド(SASE、XDRやクラウド関連のセキュリティの領域など)にも着目し、取り組みを進める必要があるという。

分散型の意思決定に進化させる

 すべてを中央のIT部門やセキュリティ部門のみで管理するには限界があり、分散型の意思決定の議論が重要になっているとのこと。「禁止」するセキュリティ対策は機能せず、人に自由を与えるセキュリティへと転換を図る必要があるという。デジタルの取り組みが進む現場においては、完璧や詳細を求めるようなガイドラインを作成したとしても、無視され、陳腐化する可能性が高いとしている。

新たな時代に向けて

 ChatGPTなどの生成AIのトレンドをはじめとするテクノロジ・トレンドは日々変化しており、これからのデジタル時代のセキュリティは、サイバーセキュリティの脅威はもとより、こうしたデジタル・トレンドに合わせ、絶えず適応していく必要に迫られるという。

 礒田氏は次のように述べている。

 「動物は(人も)『よくわからないもの』に対し本能的に恐怖を感じます。漠然とした恐怖や不安を取り除くには、それについて『理解』することが重要です。AIのリスクとは、漏洩やプライバシー、偽情報だけでありません。AI規制が進む背景への理解が必要です。また同時に、テクニカルなリスクについても押さえる必要があります。パブリックな大規模言語モデル(LLM)のみでなく、自社用にLLMを構築する例が今後さらに増えますが、そこでは様々なリスクが潜んでいます。AI TRiSM(AIの信頼性/リスク/セキュリティ管理)の観点で、AIの確実性、信頼性、セキュリティ、データ保護といった対策を押さえて、新しい能力を獲得する必要があります」

【関連記事】
ガートナー、サイバーセキュリティにおいて払拭すべき4つの「先入観」を発表
国内企業の半数以上がCSIRTを設置も、うち6割超がインシデントに対応に自信なし──ガートナーが発表
80%以上の日本企業がソフトウェア・クラウド契約に不満──ガートナー調査

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/18154 2023/07/27 18:45

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング