ガートナージャパン(以下、Gartner)は、最高情報セキュリティ責任者(以下、CISO)をはじめとするセキュリティ/リスク・マネジメントのリーダーは、「対応/復旧」の優先度を「防御」と同じレベルまで引き上げることで、「失敗は断じて許さない」という古い考えよりも高い価値を生み出せるとの見解を発表した。
Gartnerは、対応/復旧の優先度を防御と同じレベルまで引き上げるサイバーセキュリティ機能を「サイバーセキュリティの拡張」と呼んでいる。この機能の実現に向けた取り組みを始めるため、CISOは、「失敗を許容する組織」「最小の労力で最大の効果をもたらすツール」「レジリエントなサイバー人材」という3つの活動領域に注力すべきだという。
失敗を許容する組織を構築する
Gartnerは、CISOに対し、サイバーセキュリティの防御面の対策が明らかに成果を挙げていないビジネス活動の2つの領域、「生成AI」と「サードパーティ利用」に焦点を当てることで、失敗を許容する組織の構築に取り組むことを推奨している。
生成AIのように急速に進化するテクノロジーに関しては、すべての攻撃を常に防ぐことは不可能だという。組織が生成AIの活用を成功させるには、不可避な問題に適応し、対応/復旧する能力が必要である。したがって、成果を挙げているCISOは、防御を中心に据えた生成AIのガイダンスの補完として、「サイバーセキュリティの拡張」のためのハンドブックを利用しているという。
サードパーティによるサイバーリスク・マネジメントに関しては、サイバーセキュリティ部門が労力を投じても、リスクの高いサードパーティの利用がなくなることはない。サイバーセキュリティが真に効果を生み出すには、デュー・デリジェンスの質問を増やすことではなく、ビジネス部門がサードパーティのインシデントに特化した事業継続管理を確実に文書化/テストすることが必要とのことだ。
CISOは、出口戦略、代替サプライヤーのリスト、インシデント対応プレイブックなどを含む、サードパーティに関するコンティンジェンシー・プランを正式に策定するよう、事業推進責任者を導く必要があるという。様々な領域で事業継続管理(BCM)を導入しているCISOは、これからはサードパーティ・サイバーリスク・マネジメントに関しても事業継続管理を取り入れることが求められるだろうと同社は述べている。
最小の労力で最大の効果をもたらすツールを追求する
CISOは、使用期限を過ぎた古いツールを使い続ける一方で、付随するコストや管理の複雑さを十分に理解しないまま、新しいツールを性急に導入しているという。やみくもにツールを購入せず、組織のエクスポージャーの悪用に対する観測/防御/対応に必要な最小限のツールを採用するという原則を受け入れる必要があると同社は述べている。これを実現するために、推奨される活動は次のとおり。
- コントロール・フレームワークにツールセットを対応させて、冗長や不足を特定する
- 機能性だけでなく、実装リスクに関しても、テクノロジー面での概念実証(POC)を実施する
- 生成AIを活用した効率化を積極的に追求し、生成AIによる拡張を模索する
レジリエントなサイバー人材を生み出す
レジリエントなサイバー人材を育成するために、推奨される活動は次のとおり。
- 従業員支援プログラムにセルフケアを組み込む:たとえば、インシデント発生時のカウンセリングやストレス緩和策などのウェルビーイング・プログラムを、従業員支援プログラムに組み込む
- レジリエンスを真の能力のように扱い、従業員のレジリエンス向上を支援する:技術的コンピテンシーや、その他のコンピテンシーを育成する場合と同じように、レジリエンスを真の能力として扱う
- 業務プロセスを見直して、燃え尽き症候群を減らす:従業員を巻き込んで、業務上の摩擦がどこで発生しているかを把握し、ボトルネックを減らし、自動化を活用することで、従業員が真に必要な活動にエネルギーを集中できるようにする
CISOは、上記の支援を従業員に提供することに加えて、これまでの無事故の実績を数字で示すことや、自身が失敗した例や、その経験から学んだことを率先して共有することも有効だとしている。
【関連記事】
・サイバーリーズン、中堅企業向けのエンドポイントセキュリティソリューションを発表 8月中旬から受注開始
・LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査
・ジオテクノロジーズ、「CSIRT MT.mss」導入で情シスが脆弱性モニタリング注力可能に
