ユーザー企業のITリーダーを対象にしたこの調査では、セキュリティに関する懸念事項を質問した。その結果、日本企業の担当者の21%が、自社のセキュリティ対策において最も懸念すべき事項は「コストが掛かりすぎる」ことであると回答した。これに続いて、セキュリティ対策を推進するに当たり、内容が「複雑すぎる」(13%) 、強化を「どこまでやればゴールなのか分かりにくい」(12%)といった点が懸念されていることが明らかになった。
今回の結果について、ガートナー リサーチ部門リサーチ ディレクターの礒田優一氏は、次のように述べている。
「本調査では、『コストが掛かりすぎる』点が懸念事項の1位になりました。当然ながら、セキュリティのリスクを減らすために対策を積み重ねるほど、コストはかさみます。セキュリティへの取り組みにかかわる判断を誰が下すべきかを検討しなければなりません。JTB、ベネッセコーポレーション、日本年金機構、Sony Pictures Entertainmentなどの企業で起きた昨今の情報漏洩事件からも分かるとおり、セキュリティに関するインシデントは明らかに経営上の大問題になっています。セキュリティは、単なる維持コストではなくビジネスに不可欠な投資であると考えることもできるでしょう。よって、セキュリティへの取り組みは、もはやITやセキュリティのリーダーのみで判断を下せる範囲を超えており、経営者が関与、判断する必要があります」
「その際に課題となるのが、セキュリティが『複雑』である点です。サイバー攻撃、内部不正といった分かりやすい脅威ばかりではなく、法規制やグローバル化などによる外部環境の変化、クラウド、モバイル、ソーシャル、ビッグ・データをはじめとするITインフラストラクチャの変化も考慮しなければなりません。経営者に判断を委ねるにしても、セキュリティ対策にはさまざまな要因が絡んでいるため、経営者が理解できるように説明するのは難しいことです。しかしながら、セキュリティへの取り組みを推進するには、経営者との対話が必須であり、また経営者が判断を下すための材料を提供することが不可欠なのです」
セキュリティ対策と一言でいってもその種類は多岐にわたる。今回の調査でも、さまざまな対策の強化を「どこまでやるか」悩んでいる管理者が多いことが浮き彫りになった。
このような状況下で、組織においてセキュリティ・リーダーは、現実的な落としどころを見つけて取り組みを推進していく必要に迫られている。社会やビジネスが急速にデジタル化され、セキュリティが再定義される中、組織のセキュリティ・リーダーも考え方を根本から変えていく必要がある。
ガートナーは、セキュリティについての従来の考え方を新しい取り組みへ変容させていく際に検討すべきことを、「トラスト&レジリエンスに関する重要な6つの原則」として挙げている。6つの原則とは、(1) リスク・ベース、(2) ビジネス成果、(3) ファシリテーター、(4) 検知と対応、(5) 「人中心」のセキュリティ (PCS: People Centric Security)、(6) データ・フローである。
前出の礒田氏は、「これからは、『システムやデータを守る』という発想ではなく、『ビジネスを守る』という考え方に転換することが必要です。上記の6つの原則はどれも重要ですが、特に投資判断の点においては、(2) ビジネス成果と (3) ファシリテーターは非常に重大かつチャレンジングな原則です。経営者と対話する場合は、技術的な用語を避けてビジネスの言葉で語らなければなりません。一方で、セキュリティにおいては技術的な側面も重要です。外部の専門家との会話が成り立つレベルの知識やスキルが欠かせず、これを器用にこなすことのできるファシリテーターが今まで以上に求められています」と述べている。
なお、ガートナーは7月11~13日、東京コンファレンスセンター・品川(東京都港区)において「ガートナー セキュリティ&リスク・マネジメント サミット 2016」を開催する。このサミットでは、ガートナーの国内外のアナリストやコンサルタントが、実証済みのプラクティスと戦略を紹介し、リスク/セキュリティ・リーダーが一貫してデジタル・ビジネスを支え、費用対効果の高いセキュリティ対策を牽引できるよう、さまざまな知見を提供するという。
