連載
» 2022年03月11日 05時00分 公開

サイバーセキュリティ管理は誰の仕事か――IT部門とビジネス部門の責任の共有が重要Gartner Insights Pickup(248)

サイバーセキュリティとその影響に対する責任の共有は、ビジネス上の意思決定として経営幹部が積極的に参加できる環境を整えることによって、実現する。

[Kasey Panetta,Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 大規模なサイバーセキュリティインシデントがこの2年間で急激に増加し、Colonial PipelineやSolarWinds、食肉生産会社のJBSなどの被害が大きく報じられてきた。サイバー侵害のコストの高さや頻度を背景に、今では企業の取締役の88%が「サイバーセキュリティはビジネスリスクであり、単なるITの問題ではない」と認識するようになっている。5年前には、この割合は58%にとどまっていた。

 だが、企業の説明責任の文化は、こうした認識の変化を反映していない。Gartnerの調査レポート「Gartner View From the Board of Directors Survey 2022」によると、サイバーセキュリティに関する主要な責任を担っているのが依然としてCIO(最高情報責任者)やCISO(情報セキュリティ最高責任者)である企業は、回答企業全体の85%に上る。

 「CIOは、サイバーセキュリティの説明責任に対する分担のバランスを見直し、ビジネスリーダーや経営上層部と責任を共有しなければならない」。Gartnerのアナリストでディスティングイッシュト バイスプレジデントの、ポール・プロクター(Paul Proctor)氏はそう語る。

 「CIOは、企業のセキュリティ保護に関する最終的な意思決定者であり、最終的な権限を持っていると考えられている。だが、実際には、ビジネスリーダーは日々、企業のセキュリティに影響する意思決定をしている。彼らは説明責任を共有すべきだ」(プロクター氏)

 サイバーセキュリティの責任共有モデルへの移行を促進するには、積極的に取締役会と協力し、責任を共有するガバナンスモデルを確立するとともに、ビジネスリーダーと協力して保護とビジネスニーズを両立させる管理プログラムを策定する。まず、ビジネス課題としてのサイバーセキュリティの現状評価を短期的な取り組みとして行い、その後長期的な取り組みとして新たに共通する説明責任のガバナンスモデルを定義していく。

(出所:Gartner IT部門がサイバーセキュリティの説明責任を負う企業が依然として大半)

ビジネス課題におけるサイバーセキュリティの現状を評価するための5つの質問

 次の質問により、自社のビジネス部門とIT部門が、サイバーセキュリティの責任を共有する準備がどれだけできているかを把握できる。

  1. 自社は組織として、セキュリティ担当者の手助けなくリスク情報に基づく意思決定を下せるか
  2. IT部門は、個々のセキュリティ対策のビジネス価値を説明できるか
  3. 自社のセキュリティ対策に関連する指標は、保護レベル(技術の観点)とオペレーション機能(ビジネスの観点)のどちらを反映しているか
  4. セキュリティ上の意思決定にかかる時間のうち、どれだけの割合がビジネス目標ではなく、恐怖や不確実性、疑念(FUD)に対して費やされているか
  5. セキュリティプログラムは顧客や株主、規制当局を納得させるものか

説明責任の共有への移行

 サイバーセキュリティの説明責任の共有に関する自社の準備状況が明確になれば、他のビジネスリーダーに、意思決定やトレードオフに関する判断への関与を得る方策を講じられる。例えば、次のような方策がある。

1.サイバーセキュリティに関する意思決定を共有する

 サイバーセキュリティのアプローチと投資に関連する利用可能な選択肢を、それぞれのリスクやコストとともに提示する。ビジネスリーダーに情報を提供し、意思決定に関与してもらうことで、彼らが責任を負う可能性が高くなる。

2.リスク、価値、コストの最適なバランスを伝える

 各ビジネス部門が生み出す価値を測定し、既知のリスクに対応するための準備状況やそのためのコストを関連付けて示すことで、サイバーセキュリティ投資の優先順位付けを支援する。視覚的なマトリックスを作成し、ビジネス部門間の比較を素早くできるようにする。

3.恐怖ではなく、説明責任を果たす動機付けに信頼と評判を利用する

 共通の目標に取り組むことが、ビジネス部門のパートナーとのコミュニケーションやコラボレーションの促進に役立つ。

出典:Whose Job Is It to Manage Cybersecurity? Hint:Stop Pointing at the CIO(Gartner)

筆者 Kasey Panetta

Brand Content Manager at Gartner


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。