連載
» 2022年02月04日 05時00分 公開

サイバーセキュリティ攻撃を招く可能性のある8つの原因Gartner Insights Pickup(243)

文化やシステムの問題が、組織を脆弱(ぜいじゃく)にしている可能性がある。

[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 多くのビジネスリーダーは、十分な資金を投入し適切な技術知識を持つ人材を雇えば、サイバーセキュリティの問題は解決でき、自分たちの名前がメディアで報じられることはないと考えている。

 だが、組織がサイバーセキュリティ攻撃にさらされている原因は、技術的な能力や資金ではなく、IT部門と非IT部門の幹部に起因するシステムや文化の問題であることが多い。

 「CIO(最高情報責任者)やCISOはこれらの問題を起点に、IT部門以外の経営幹部にセキュリティを優先するようどのように働き掛けるかを考え直すべきだ」。Gartnerのアナリストでディスティングイッシュト バイスプレジデントの、ポール・プロクター(Paul Proctor)氏はそう指摘する。

 組織内におけるインシデントの主な原因となる問題に対処することで、サイバー攻撃のリスクを低減できる。

(出所:Gartner サイバーセキュリティ攻撃を招く可能性のある8つの原因)

1.目に見えないシステミックリスク

 企業は日々、セキュリティ対策に悪影響を与える決定をしている。例えば、適切なパッチ適用を目的としたサーバのシャットダウンを拒否したり、予算を節約するために古いハードウェアやソフトウェアを使い続けることを選択したりといった具合だ。こうした決定が報告されないと、誤ったセキュリティ意識につながり、インシデントの可能性と重大性が高まってしまう。

対策:通常のセキュリティガバナンスの一環として、システムリスクを認識し、報告、議論する。

2.組織文化の分断

 IT部門以外の幹部は、セキュリティを空気や水のように「そこにあるもの」と考えている。これは、セキュリティがビジネス上の決定事項の一部だと考えられていないことを意味する。例えば、新しいアプリケーションを要求するビジネスリーダーは、要件として「セキュリティ対応」を含めないだろう。

対策:サイバーセキュリティをビジネスの文脈に位置付け、幹部が自らの意思決定の影響を把握できるようにする。

3.問題に対する無駄な投資

 お金の力には限界がある。いくら費用をかけても、サイバー攻撃を完全に防ぐことはできない。リスクのある活動を全てやめようとすると、組織の機能が損なわれてしまうだろう。

対策:過剰なセキュリティ投資はしない。運用コストを高騰させるだけでなく、組織におけるビジネス成果を達成する能力を損なうからだ。

4.”守る機能”としてのセキュリティ

 セキュリティ担当者が組織の番人として扱われる(そして、行動する)と、否定の文化が生まれる。例えば、セキュリティ担当者は、アプリケーションがサポートするビジネス成果を考慮することなく、セキュリティ面の懸念から、重要なアプリケーションのリリースを阻止するかもしれない。

対策:セキュリティを保護ニーズとビジネス運営ニーズのバランスを取る機能として位置付ける。

5.説明責任の崩壊

 説明責任は、「リスクを受け入れる意思決定を、重要なステークホルダーに対してディフェンシブル(弁明可能)なものにする」ことを意味すべきである。だが、説明責任が「何か問題が起きた場合、誰かが解雇される」ことを意味するのであれば、誰も関与しようとしないだろう。

対策:保護ニーズとビジネス運営ニーズのバランスを最良の形で取れる意思決定を下す者に報いる。

6.曖昧なリスク受け入れ姿勢

 組織は、リスク受け入れとリスク容認に関して、一般的なハイレベルの文書を作成するが、それは適切な意思決定をサポートしない。「低リスクの活動にのみ従事する」と約束するのを避けるようにする。そうした約束は、目に見えないシステミックリスクにつながることがあるからだ。

対策:定義されたパラメータ内でのリスクの受容を認める仕組みを確立する。

7.社会の非現実的な期待

 重大なセキュリティインシデントが発生し、大々的に報じられると、社会は誰かの首が飛ぶことを期待する。これは公平ではないが、何十年にもわたってセキュリティをブラックボックスとして扱ってきた結果だ。セキュリティの実際の仕組みを誰も理解していないため、インシデントが起こると、人々は誰かがミスを犯したに違いないと思い込む。

 組織やIT部門がセキュリティについて、これまでとは異なる扱いやコミュニケーションを始めるまで、社会は変わらないだろう。

対策:スケープゴートを作るのではなく、保護ニーズとビジネス運営ニーズのバランスを取ることを提唱する。

8.透明性の欠如

 取締役や経営幹部の中には、セキュリティが完璧ではないことを聞きたくない、認めたくないという人もいる。そのため、取締役会へのプレゼンテーションでは、セキュリティの取り組みが進んでいるという良いニュースばかりが報告され、ギャップや改善の機会についてはほとんど、あるいはまったく議論されない。われわれが知っているある企業では、セキュリティに関する議論を法務顧問の指揮下で行うことを決定し、議論が秘匿特権的なものとなっている。

対策:この問題に取り組むには、IT部門と非IT部門の幹部が、セキュリティの現状と限界を理解し、話し合う姿勢を持たなければならない。

出典:8 Ways You Could Be Inviting a Cybersecurity Attack(Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。