全てのセキュリティ予算をテクノロジーに費やしてはいけない理由：Gartner Insights Pickup（305）

ほとんどのサイバー攻撃を引き起こすのは、機械ではなく人間の脆弱（ぜいじゃく）性だ。サイバーセキュリティのリーダーは、セキュリティ予算をテクノロジー的な対策の強化に配分する前に、人的要素を考慮する必要がある。

[Richard Addiscott, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」や、アナリストらのブログサイト「Gartner Blog Network」などから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　Gartnerによると、世界の情報セキュリティ／リスク管理製品およびサービス支出は、2023年に前年比で12.74％増加し、1898億ドルを超える見通しだ。その背景には、リモートワークやハイブリッドワークの増加、VPNからゼロトラストネットワークアクセス（ZTNA）への移行、クラウドベースのデリバリーモデルへの移行といった要因がある。

　セキュリティ予算が増えていることは喜ばしいが、予算をテクノロジーにばかりつぎ込まないことが重要だ。

　サイバーセキュリティのリーダーは、セキュリティ予算をテクノロジー的な対策の強化に配分する前に、人的要素を考慮する必要がある。ほとんどのサイバー攻撃を引き起こすのは、機械ではなく人間の脆弱（ぜいじゃく）性だ。残念ながら、人間は長い間、組織の「最も弱い部分」と見なされてきた。

　Verizonの「 2022 Data Breach Investigations Report（外部リンク／英語）」（2022年度データ漏えい／侵害調査報告書）によると、2020年11月1日から2021年10月31日までの1年間に発生したデータ漏えい／侵害のうち、82％は人的要素が関係している。この統計データは、人間の行動とユーザー体験をより考慮する必要があることをサイバーセキュリティリーダーに示している。またテクノロジー中心の投資に基づくセキュリティプログラムでは、期待されたリスク管理の成果が十分に挙がっていないことも示している。

組織のリスクを軽減する

　フィッシングは依然として主要な攻撃手段だが、システムの構成ミスやデータの誤用、誤送信、弱い認証情報の使用といった人間行動も、相当数のデータ侵害につながっている。これらはいずれも回避できる行動であり、対処する必要がある。

　従業員は、自分が危ない橋を渡っていることを自覚している。Gartnerの調査によると、仕事中に安全でないさまざまな行動を取っていると認めた従業員の90％以上が、組織に及ぼすリスクが高まることが分かっていながら、それらの行動をしていた。その理由としては「スピード」「利便性」の他、「リスクを上回るメリットが見込めたこと」が挙げられている。

　コントロールのデザインがお粗末で、コントロールがもたらすメリットよりも不満の方が大きくなっているという問題もある。現在のセキュリティコントロールの投資と実装は、コントロールでカバーされる従業員がメリットを感じない方法で行われることが多い。さらに、コントロールの実装方法は業務において、結果的にユーザーに不満を与えることが多い。メリットの欠如と不満の増大に伴い、従業員は、安全でなく、ポリシーに反する行動であっても効率を追求してしまう。

　可能な限りコントロールを見直し、仕事のフロー（および場所）とシームレスに組み入れることが重要だ。従業員が、日々の仕事をどこでどのように行っているかをよく理解し、そのワークフローと連動するコントロールをデザインすべきだ。そのための方法として、人間中心のセキュリティデザインプラクティス（手法）を、戦略的なケイパビリティおよび運用プラクティスに導入することが挙げられる。

テクノロジーや脅威ではなく、個々人に焦点を当てる