Gartner、セキュリティ／リスク・マネジメントのリーダーがサイバーセキュリティのアプローチを拡張すべき3つの分野を特定

2024年7月24日

Gartner、セキュリティ／リスク・マネジメントのリーダーがサイバーセキュリティのアプローチを拡張すべき3つの分野を特定

「ガートナー セキュリティ & リスク・マネジメント サミット」(7月24～26日) において、CISOが即座に価値を創出できる重点分野について解説

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、最高情報セキュリティ責任者 (CISO) をはじめとするセキュリティ／リスク・マネジメントのリーダーは、「対応／復旧」の優先度を「防御」と同じレベルまで引き上げることで、「失敗は断じて許さない」という時代遅れの考え方に固執するよりも高い価値を生み出すことができるとの見解を発表しました。

バイス プレジデント リサーチャーのクリスティン リー (Christine Lee) は、次のように述べています。「サイバーセキュリティの新たなディスラプションが起こるたびに、CISOが戦略的な対応ではなくアドレナリンで乗り切ろうとしている状況が露呈していますが、これは持続可能なアプローチではありません。組織を継続的に防御するには、戦略的レジリエンスの実践が重要です」

バイス プレジデント アナリストのマーク ホーヴァス (Mark Horvath) は、次のように述べています。「セキュリティ業界は、防御の面では驚くほどの進歩を遂げました。しかし、対応／復旧の面では、『失敗は断じて許さない』という考え方が根強いため、十分に成熟していません。予防的なサイバー投資にもかかわらず、サイバー攻撃が頻繁に発生し、その影響も大きくなっている現在、『対応／復旧』の優先度を『防御』と同じレベルまで引き上げるためのアプローチの拡張が必要です」

Gartnerは、対応／復旧の優先度を防御と同じレベルまで引き上げるサイバーセキュリティ機能を「サイバーセキュリティの拡張」と呼んでいます。この機能の実現に向けた取り組みを始めるため、CISOは、「失敗を許容する組織」「最小の労力で最大の効果をもたらすツール」「レジリエントなサイバー人材」という3つの活動領域に注力すべきです。

ホーヴァスとリーは、本日から開催しているガートナー セキュリティ & リスク・マネジメント サミットのオープニング基調講演において、これら3つの領域を通じてサイバーセキュリティを拡張できる組織を早期に実現する方法について解説しました。

失敗を許容する組織を構築する

Gartnerは、CISOに対し、サイバーセキュリティの防御面の対策が明らかに成果を挙げていないビジネス活動の2つの領域、すなわち「生成AI (GenAI)」と「サードパーティ利用」にまず焦点を当てることで、失敗を許容する組織の構築に取り組むことを推奨しています。

生成AIのように急速に進化するテクノロジに関しては、すべての攻撃を常に防ぐことは不可能です。組織が生成AIの活用を成功させるには、不可避な問題に適応し、対応／復旧する能力が欠かせません。したがって、成果を挙げているCISOは、防御を中心に据えた生成AIのガイダンスの補完として、「サイバーセキュリティの拡張」のためのハンドブックを利用しています。

サードパーティによるサイバーリスク・マネジメントに関しては、サイバーセキュリティ部門がどれほどの労力を投じたとしても、リスクの高いサードパーティの利用がなくなることはありません。サイバーセキュリティが真に効果を生み出すには、デュー・デリジェンスの質問を増やすことではなく、ビジネス部門がサードパーティのインシデントに特化した事業継続管理を確実に文書化／テストすることが必要となります。

CISOは、出口戦略、代替サプライヤーのリスト、インシデント対応プレイブックなどを含む、サードパーティに関するコンティンジェンシ・プランを正式に策定するよう、事業推進責任者を導く必要があります。さまざまな領域で事業継続管理 (BCM) を導入しているCISOですが、これからはサードパーティ・サイバーリスク・マネジメントに関しても事業継続管理を取り入れることが求められます。

最小の労力で最大の効果をもたらすツールを追求する

「失敗は断じて許さない」という考え方は、サイバーセキュリティのテクノロジに対するアプローチで特に根強く浸透しています。

リーは、次のように述べています。「CISOは、使用期限を過ぎた古いツールを使い続ける一方で、付随するコストや管理の複雑さを十分に理解しないまま、新しいツールを性急に導入しています。やみくもにツールを購入し、それによって成功が阻害されるという悪循環に終止符を打つべきです。そのためには、組織のエクスポージャの悪用に対する観測／防御／対応に必要な最小限のツールを採用するという原則を受け入れる必要があります」

これを実現するため、CISOには以下の活動が推奨されます。

• コントロール・フレームワークにツールセットを対応させて、冗長や不足を特定する
• 機能性だけでなく、実装リスクに関しても、テクノロジ面での概念実証 (POC) を実施する
• 生成AIを活用した効率化を積極的に追求し、生成AIによる拡張を模索する

レジリエントなサイバー人材を生み出す

ホーヴァスは、次のように述べています。「CISOとそのチームはしばしば、英雄的行為を尊び、失敗を隠蔽しようと考えることがあります。これまで以上に従業員のイノベーション、実験、エンゲージメントが必要とされていますが、その求め方次第では逆効果になることもあります」

レジリエントなサイバー人材を育成するためには、以下の活動が推奨されます。

• 従業員支援プログラムにセルフケアを組み込む：例えば、インシデント発生時のカウンセリングやストレス緩和策などのウェルビーイング・プログラムを、従業員支援プログラムに組み込む
• レジリエンスを真の能力のように扱い従業員のレジリエンス向上を支援する：技術的コンピテンシやその他のコンピテンシを育成する場合と同じようにレジリエンスを真の能力として扱う
• 業務プロセスを見直して、燃え尽き症候群を減らす：従業員を巻き込んで、業務上の摩擦がどこで発生しているかを把握し、ボトルネックを減らし、自動化を活用することで、従業員が真に必要な活動にエネルギーを集中できるようにする

CISOは、上記の支援プログラムを従業員に提供することに加えて、これまでの無事故の実績を数字で示すことや、自身が失敗した例や、その経験から学んだことを率先して共有することも有効です。

詳細については、無償のGartnerリサーチノート「Augmented Cybersecurity: Winning Actions To Thrive Amidst Chaos and Complexity」でご確認いただけます。

Gartner for Cybersecurity Leadersについて

Gartner for Cybersecurity Leadersでは、セキュリティ・リーダー (CISOs) が役割を再定義し、セキュリティ戦略をビジネス目標に整合させ、セキュリティ保護と組織のニーズのバランスを取るプログラムを構築できるよう支援します。詳細は以下よりご確認いただけます。https://www.gartner.com/en/cybersecurity/products/gartner-for-cisos

日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。

ガートナー セキュリティ & リスク・マネジメント サミットについて

7月24～26日にグランドニッコー東京 台場にて開催中のガートナー セキュリティ & リスク・マネジメント サミットでは、セキュリティ／リスク・マネジメントのリーダーおよびセキュリティの担当者に向けてセキュリティに関連する最新のトレンド、知見、アドバイスを提供します。コンファレンスのニュースと最新情報は、Xでご覧いただけます (#GartnerSEC)。