ガートナージャパンは7月26日、28日までの予定で開催中の「ガートナー セキュリティ&リスク・マネジメント サミット」のオープニング基調講演において、サイバー・セキュリティにおいて払拭すべき4つの「先入観」と実行すべきアクションを発表した。
同社によると、サイバー・セキュリティの取り組みは企業に大きな価値をもたらすものの、4つの主な先入観によって、その労力に見合った効果がもたらされていないという。
セキュリティ/リスク・マネジメント(SRM)のリーダーおよび最高情報セキュリティ責任者(CISO)は、サイバー・セキュリティに求められているのは最小の労力で最大の効果をもたらすマインド・セットであることを理解する必要があると指摘する。
同社が払拭すべき先入観として挙げているのは、以下の4点。
- リスク分析を増やす=よりセキュアになる
- ツールを増やす=よりセキュアになる
- サイバー・セキュリティ専門家を増やす=よりセキュアになる
- 締め付けを強める=よりセキュアになる
1番目の先入観であるリスク分析を増やすことに関して、一般的に、サイバー・セキュリティのイニシアティブで幹部レベルの意思決定者の行動を促すには、サイバー・イベントの発生可能性を算出するなど高度なデータ分析を行うことが最善と考えられていると同社はいう一方で、こうした方法ですべてのリスクを定量化することは現実的ではないと指摘する。
この情報だけでは、セキュリティ・リスクがもたらすビジネス・リスクに対し、誰がどのように対処し責任を負うのか、CISOと経営者が実行すべき次の行動に、直接結びつかないからだ。同社の調査では、サイバー・リスクの定量化が新たな行動につながると回答したCISOは36%に留まったとのこと。
また同社は、ビジネスを推進するため闇雲に高度なリスク分析を増やすことは逆効果といい、CISOは、最小労力で最大効果をもたらす知見に基づいて行動を取るために、Gartnerの成果主導の評価指標(ODM、Outcome-Driven Metrics)を使用すべきだと提言する。
2番目の先入観であるツールを増やすことに関して、ほとんどの企業が新しいテクノロジーの獲得を検討していることが同社に寄せられる問い合わせの傾向から明らかになっているという。一方、そうした企業は、サイバー・セキュリティ・ツールやテクノロジーへの支出を増やしているにも関わらず、セキュアになった実感は得られないと感じているとのこと。
最小労力で最大効果をもたらすツールを取り入れるには、まずテクノロジーに関する人的コストを可視化し削減すべきだと同社はいう。また、並行してアーキテクチャにも着目し、テクノロジーの相互運用性と適応性を設計の原則とすべきだとしている。
3番目の先入観である、サイバー・セキュリティ専門家を増やすことに関して、サイバー・セキュリティ専門家が340万人不足していると言われる一方で、需要は2022年だけでも65%増加しているとのこと。サイバー・セキュリティ専門家の需要は供給を上回り、多くのCISOがこの問題を解消できずにいるという。
現在、41%の従業員は非IT部門のビジネス・テクノロジストとしてテクノロジーを獲得、適応、または構築しているが、この割合は2027年には従業員の77%に増加すると同社は予測する。
同社の調査では、高度なサイバー・ジャッジメントを習得したビジネス・テクノロジストは、セキュリティ・リスクを半減させ、意思決定の判断を下すスピードが2.2倍速くなることが明らかになっているとのことだ。
4番目の先入観である締め付けを強めることに関して、同社の調査では、過半数の従業員がセキュリティの観点で安全でない行動を何かしらとっていると認識していることが分かった。また、93%の従業員は、自身のこうした行動が企業のリスクを増大させることを認めているとのこと。
一方、平均的な企業は年間のサイバー・セキュリティ予算のうち10%を従業員のサイバー・セキュリティの意識向上プログラムに充てているという。サイバー・セキュリティに起因する摩擦を最小限に抑えるには、サイバー・セキュリティの従業員エクスペリエンスに注力する必要があると、同社は指摘する。
最優先事項は、従業員が安全な行動を最も簡単に行えるようにすることだ。最小労力で最大効果をもたらす従業員の手間のバランスがどこなのかを追求することで、従業員のユーザー・エクスペリエンス(UX)への影響を最小限に抑えながら、コントロールの有効性のバランスを取ることができるとのこと。
セキュリティ・リーダーには、先入観を払拭し、リスクを的確に捉えてビジネス部門と連携し、最大限のインパクトをもたらすことが求められていると、同社は指摘している。