全てのセキュリティ予算をテクノロジーに費やしてはいけない理由:Gartner Insights Pickup(305)
ほとんどのサイバー攻撃を引き起こすのは、機械ではなく人間の脆弱(ぜいじゃく)性だ。サイバーセキュリティのリーダーは、セキュリティ予算をテクノロジー的な対策の強化に配分する前に、人的要素を考慮する必要がある。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」や、アナリストらのブログサイト「Gartner Blog Network」などから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
Gartnerによると、世界の情報セキュリティ/リスク管理製品およびサービス支出は、2023年に前年比で12.74%増加し、1898億ドルを超える見通しだ。その背景には、リモートワークやハイブリッドワークの増加、VPNからゼロトラストネットワークアクセス(ZTNA)への移行、クラウドベースのデリバリーモデルへの移行といった要因がある。
セキュリティ予算が増えていることは喜ばしいが、予算をテクノロジーにばかりつぎ込まないことが重要だ。
サイバーセキュリティのリーダーは、セキュリティ予算をテクノロジー的な対策の強化に配分する前に、人的要素を考慮する必要がある。ほとんどのサイバー攻撃を引き起こすのは、機械ではなく人間の脆弱(ぜいじゃく)性だ。残念ながら、人間は長い間、組織の「最も弱い部分」と見なされてきた。
Verizonの「 2022 Data Breach Investigations Report(外部リンク/英語)」(2022年度データ漏えい/侵害調査報告書)によると、2020年11月1日から2021年10月31日までの1年間に発生したデータ漏えい/侵害のうち、82%は人的要素が関係している。この統計データは、人間の行動とユーザー体験をより考慮する必要があることをサイバーセキュリティリーダーに示している。またテクノロジー中心の投資に基づくセキュリティプログラムでは、期待されたリスク管理の成果が十分に挙がっていないことも示している。
組織のリスクを軽減する
フィッシングは依然として主要な攻撃手段だが、システムの構成ミスやデータの誤用、誤送信、弱い認証情報の使用といった人間行動も、相当数のデータ侵害につながっている。これらはいずれも回避できる行動であり、対処する必要がある。
従業員は、自分が危ない橋を渡っていることを自覚している。Gartnerの調査によると、仕事中に安全でないさまざまな行動を取っていると認めた従業員の90%以上が、組織に及ぼすリスクが高まることが分かっていながら、それらの行動をしていた。その理由としては「スピード」「利便性」の他、「リスクを上回るメリットが見込めたこと」が挙げられている。
コントロールのデザインがお粗末で、コントロールがもたらすメリットよりも不満の方が大きくなっているという問題もある。現在のセキュリティコントロールの投資と実装は、コントロールでカバーされる従業員がメリットを感じない方法で行われることが多い。さらに、コントロールの実装方法は業務において、結果的にユーザーに不満を与えることが多い。メリットの欠如と不満の増大に伴い、従業員は、安全でなく、ポリシーに反する行動であっても効率を追求してしまう。
可能な限りコントロールを見直し、仕事のフロー(および場所)とシームレスに組み入れることが重要だ。従業員が、日々の仕事をどこでどのように行っているかをよく理解し、そのワークフローと連動するコントロールをデザインすべきだ。そのための方法として、人間中心のセキュリティデザインプラクティス(手法)を、戦略的なケイパビリティおよび運用プラクティスに導入することが挙げられる。
テクノロジーや脅威ではなく、個々人に焦点を当てる
Gartnerは、2027年までに大企業のCISO(最高情報セキュリティ責任者)の50%は、人間中心のセキュリティデザインプラクティスを採用して、サイバーセキュリティに起因する摩擦を最小限に抑えながら、コントロールを最実装できるようになると予測している。
人間中心のセキュリティデザインは、テクノロジー、脅威、場所ではなく、個々人をコントロールのデザイン、実装の焦点に据えてモデル化されている。このアプローチでは、目指すビジネス成果の達成過程において、個々人のニーズ(パーソナルと業務上のニーズの両方)に応じてさまざまな、あるいは多くのコンテキストに対応できる。
そのための方策としては、リスクに応じた、より柔軟なセキュリティコントロールの運用とユーザー体験を実現することや、状況要因を考慮した共感ベースのセキュリティ管理を推進すること、コントロールをデザインする際にステークホルダーとの積極的なコラボレーションが考えられる。
従業員との摩擦を最小化する
人間中心のデザインは、セキュリティプログラムのROI(投資対効果)を向上させる。従業員がセキュリティプログラムをなおざりにしがちである場合、プログラムは効果を発揮しない。基本的に、人間中心のデザインのROIは、サイバーセキュリティプログラムがいかに従業員の仕事のやり方との摩擦を最小限に抑えながら意図された通りに機能するかによって左右される。
コントロールには実行力を持たせなければならない。深い人間理解(脅威と、人間がそれについてどのように意思決定を行うかの両方に対する深い理解)に基づいたセキュリティプログラムを構築すれば大きなメリットが得られる。段階を踏んで従業員への理解を深めることで、従業員の行動により影響を与えられる。
こうした人間中心のアプローチを導入するには、セキュリティ施策にエンドユーザーとのコラボレーションプラクティスを正式に、かつ一貫して(この点が最も重要)組み込む必要がある。これは、チームの業務方法を変えることにつながり、自社のセキュリティ運用モデルに変化をもたらす。
人間とその要件を、セキュリティコントロールのデザイン、展開、運用の中心に据える必要があり、そのための土台を固めるために、採用活動では「共感力」を従業員の重要な資質の1つとして位置付ける。
人間中心のセキュリティデザインプラクティスを導入するには、サイバーセキュリティチームがソリューションの設計と開発に関わる必要もある。DevOpsチームやビジネスアナリストとの共同の取り組みに、継続的に投資すべきだ。対策を共同で構築する以外にも、両者がリスクを意識した意思決定を改善するのに役立つという副次的な効果も期待できる。
新たなアプローチを導入するには
まず、セキュリティ対策を評価、実装、運用する際の人的要素の重要性に関するセキュリティチームの期待を定義し、再設定する。次に、セキュリティ(特に、顧客やビジネス部門が利用するセキュリティ)人材のケイパビリティの計画と開発を開始する。こうしたセキュリティ人材のケイパビリティでは、人間やユーザーとのやりとりを改善するために、共感主導で成果にフォーカスしたプラクティスが採用される。
続いて、既存のセキュリティロードマップを評価する。従業員の仕事のやり方を変えることになる、将来のセキュリティ施策を特定する。この施策を通じて、人間中心のセキュリティデザインプラクティスを、その施策の影響を受ける従業員と共同で展開するPoC(概念実証)やパイロットセキュリティプロジェクトを実施する。
出典:Gartner
筆者 Richard Addiscott
Sr Director Analyst
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。