多くの企業では、セキュリティ対策がビジネスと密接に結びついていない。CIOとCISOは、意思決定を行う役員を巻き込んでサイバーセキュリティへの自社の取り組み方を変更し、ビジネスに直接貢献するセキュリティ投資を推進する必要がある。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
サイバーセキュリティは少なくとも過去10年間にわたって、取締役会で議題となってきた。だが、最近の新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、サイバーセキュリティに対する経営陣の理解と、組織における実際の対応状況の乖離(かいり)が浮き彫りとなった。
「COVID-19の大流行の中でわれわれが目にする報道記事は、多くの企業が取っているサイバーセキュリティアプローチの失敗を物語る最新の例だ」と、Gartnerのアナリストでディスティングイッシュト バイスプレジデントのポール・プロクター(Paul Proctor)氏は指摘する。
「役員は、コンプライアンスの確保とハッキングの阻止に力を入れてきた。その一方で、安全なリモートアクセス技術を利用できるようにするといったシンプルなことが、事業に大きな影響を与えるにもかかわらず、軽視されていた。企業は今、挽回しようと躍起になっている」(プロクター氏)
COVID-19の大流行で、このような機会を逃していたことが明らかになったことは、セキュリティとビジネスの乖離という問題が見過ごされがちであることをよく示している。企業はビジネスのコンテキスト(文脈)で、適切で合理的、かつ一貫性のある効果的なセキュリティ対策の構築に注力する必要がある。
COVID-19の感染拡大は、CIO(最高情報責任者)やCISO、IT担当役員を、ビジネス上の決定に基づいてビジネスの文脈でサイバーセキュリティに取り組む重要な必要性に目覚めさせた。ITリーダーはこうしたIT幹部の意識改革を踏まえ、自社のサイバーセキュリティへの取り組み方を、具体的に改める役割を担っている。
多くの企業は、効果の低いサイバーセキュリティアプローチを取っている。こうした失敗したアプローチは、不適切な意思決定や採算の悪い投資につながる。サイバーセキュリティへの取り組みのビジネス貢献を限定的なものにしてしまう大きな問題として、次の4つが挙げられる。
この通念にとらわれた企業では、経営幹部によるサイバーセキュリティへの積極的な関与が得られず、非生産的なコミュニケーションが行われ、非現実的な期待が寄せられる。結果として、最終的に不適切な意思決定が行われ、サイバーセキュリティ投資の採算が悪化してしまう。
「サイバーセキュリティにいくら支出すべきか」「どうすれば規制を順守できるか」といった問い掛けは、企業が目指す保護のレベルを考慮していない。こうした的外れな問い掛けは、より適切な優先順位付けや投資の改善から注意をそらしてしまう。
企業は有望な新しいアプローチに力を入れる。だが、アプローチの実行に問題があり、かつ期待が適切に設定されていないと、投資を行ってもサイバーセキュリティを向上させる取り組みを遅らせるばかりだ。例えば、多くの企業はリスクやセキュリティを、金額(「それは500万ドルのリスクか、5000万ドルのリスクか」といったように)や、損害が発生する確率(「ハッキングされる可能性は何パーセントか」といったように)で定量化して表す。
だが、多くの場合、そうした数字の計算は、実際のビジネス上の定量的な評価よりも、仮定や基本的に結論を決める“専門家”による意見に基づいている。定量化を行ったという体裁を整えて望んでいる数字をはじき出しても、サイバーセキュリティの向上にはつながらない。
例えば、ある医療用モニタリング機器メーカーは、インターネットに接続する製品を開発する際に、サイバーセキュリティを軽視することでコストを削減し、市場投入をスピードアップさせた。基盤ソフトウェアは脆弱(ぜいじゃく)性だらけとなり、サイバー犯罪者がこの弱点を突いてランサムウェア攻撃を展開した。そのために医療専門家はそれらの機器を使えなくなり、最も必要になる時期に深刻な品不足が発生した。
この例では、経営幹部のサイバーセキュリティに関する理解不足が、甘い意思決定につながり、結果としてサイバーセキュリティ対策に不備が生じた。このメーカーのビジネスリーダーとセキュリティリーダーには、新たなアプローチでサイバーセキュリティに取り組むことが求められる。
サイバーセキュリティに関するビジネスコンテキストを設定するには、まず自社のビジネスコンテキストを把握する。企業ごとに予算やコスト、目指す成果やサポートするビジネスプロセス、収益源、顧客はさまざまだ。こうした各要素は、重要な技術的依存関係を伴う。自社にとって最も重要なプロセスとビジネス成果を理解し、技術がそれらにどのようにマッピングされるかを特定する。
さらに、ビジネスコンテキストをガイドとして、成果主導型のサイバーセキュリティアプローチに移行する。成果主導型のアプローチは、ビジネスコンテキストにおける保護レベルへの直接的な影響に基づいて、優先順位と投資を決定するガバナンスプロセスだ。このアプローチは企業が、自社がどのように保護されているかではなく、どれだけ保護されているかを把握するのに役立つ。
例えば、企業はランサムウェアに対処するために講じる主な対策(バックアップとリストア、事業継続管理、フィッシング対策トレーニングなど)のオペレーション上の効果を測定することで、ランサムウェアのリスクを管理できる。これらのツールの効果が、ランサムウェアに対処する準備に関するステークホルダーの期待を満たしている場合、投資の継続を可能にするビジネスコンテキストが生まれる。そして経営幹部は、企業がどれだけのランサムウェア保護を求めるか、そのために投入しても構わない費用はいくらかという意思決定に参加できる。
ビジネス成果主導型のアプローチは、IT部門以外の役員などのステークホルダーが、サイバーセキュリティの課題に関する情報をビジネスコンテキストで活用するための全く新しい視点をもたらす。優先順位や投資は、ビジネスを保護する必要性とビジネスを実行する必要性のバランスを取って調整できる。
出典:Security Experts Must Connect Cybersecurity to Business Outcomes(Smarter with Gartner)
Senior Public Relations Specialist
Copyright © ITmedia, Inc. All Rights Reserved.