企業に根付く「サイバーセキュリティを阻害する4つの神話」 Gartnerが対策を解説:過剰な取り組みは逆効果?
Gartnerは、企業がサイバーセキュリティを推進しても、価値を十分に発揮できず、セキュリティプログラムの効果を低減させている原因として、4つの神話を取り上げて対策を解説した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ガートナーは2023年6月5日(米国時間)、企業がサイバーセキュリティを推進しても、価値を十分に発揮できず、セキュリティプログラムの効果を低減させている原因として、4つの神話を取り上げ、CISO(最高情報セキュリティ責任者)が神話に対してどのようなアプローチを取るべきか解説した。
ガートナーのヘンリケ・テイシェイラ氏は「多くのCISOは疲弊しており、自身のストレスやワークライフバランスをほとんどコントロールできていない。サイバーセキュリティリーダーとそのチームは最大限の努力をしているが、最大限の影響を与えることができていない」と述べている。
神話その1「より多くのデータは、より良い保護につながる」
一般的に、サイバーセキュリティを推進するため高度なデータ分析に取り組むことが最適だと考えられている。サイバーセキュリティに関するイベントが発生する可能性を計算することで経営層に意思決定を促すことができるためだ。
だが、サイバーセキュリティのリスクを定量化するのは非常に困難であり、実用的ではない。データ分析に頼りすぎてセキュリティ対策が過剰になり、結果として効果的な保護を提供することができなくなる可能性もある。Gartnerの調査でも、サイバーリスクの定量化で行動を促すことに成功したと報告しているCISOは、3分の1にすぎないという。
テイシェイラ氏は「賢明なCISOは、より多くのデータや分析を追求し続けるのではなく、『最小限の効果的な洞察』というアプローチに取り組んでいる。企業のサイバーセキュリティ予算と、その予算で対処できる脆弱(ぜいじゃく)性の量を明確化することで、必要な最小限の情報に基づき意思決定を促している」と述べている。
Gartnerは、CISOが最小限の効果的な洞察に取り組むため、成果駆動型メトリクス(ODM)アプローチを使用する必要があるとした。ODMは、セキュリティとリスク指標を定量化し、ビジネス成果にどのように貢献しているかを明確にするものだ。予算の使い方に応じた保護レベルを提案したり、代替となる保護レベルを提案できる。
神話その2:「より多くのテクノロジーは、より良い保護につながる」
情報セキュリティとリスクマネジメントの製品およびサービスに対する全世界の支出は、2023年には12.7%増加し、1898億ドルに達すると予測されている。だが、組織がサイバーセキュリティツールやテクノロジーに多くの費用を費やしているにもかかわらず、セキュリティリーダーは、適切に保護されていないと感じている。
Gartnerのリー・マクマレン氏は「サイバーセキュリティは『この先にはもっと良いツールや製品があるに違いない』という思考に陥りがちだ。CISOは、最小限の効果的なツールセット(暴露を観察、防御、対応するために必要な最小限の技術)を採用する必要がある。これにより、CISOやセキュリティ部門が自社のサイバーセキュリティアーキテクチャを主導して管理でき、テクノロジー投資から価値を生み出すことを難しくしている複雑さや相互運用性の欠如を軽減できる」と述べている。
Gartnerは、サイバーセキュリティメッシュアーキテクチャ(CSMA)の原則を取り入れることで、シンプルさ、相互運用性を考慮したサイバーセキュリティ設計ができ、セキュリティツールの選択や導入においてコストと効果のバランスを考慮できると提言している。
神話その3:より多くのサイバーセキュリティ専門家は、より良い保護につながる」
マクマレン氏は「サイバーセキュリティの需要が供給を上回り、CISOは追いつけない状況になっている。サイバーセキュリティの重要性が高まっていることを受け、多くの人々がサイバーセキュリティの専門家になる必要があるとも誤解している。人材不足を補うために採用を進めるのではなく、サイバーセキュリティに関する専門知識を民主化すべきだ」と述べている。
Gartnerは、2027年までに75%の従業員がIT部門の監視や管理下にないテクノロジーを取得、修正、作成するようになると予測している(2022年は41%)。従業員がサイバーセキュリティに関する最小限の判断力を持つために、CISOが支援することで、チームの負担を軽減できるとした。
神話その4:「より多くの統制やルールが、より良い保護につながる」
Gartnerの調査によると、69%の従業員が過去12カ月間に組織のサイバーセキュリティガイダンスを回避し、74%の従業員がビジネス目標の達成に役立つ場合にはサイバーセキュリティガイダンスを回避する意思があるという。
テイシェイラ氏は「サイバーセキュリティ部門は、従業員の安全ではない行動をよく認識しているが、より多くの統制やルールを追加するという対応は逆効果だ。従業員は安全な行動に関連する大きな負担を報告しており、これが安全ではない行動につながっている。統制やルールの回避は、全く統制やルールがない状況よりも悪い結果をもたらす可能性がある」と述べている。
関連記事
「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある
2023年6月、ITmedia Security Week 2023 夏で、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。
AIの「情報漏えい」リスクにどう対応する?――日本マイクロソフトCSO河野氏が「Security Copilot」を紹介
日本マイクロソフトは2023年4月20日、「Chat AIを活用した 新しいセキュリティ運用」と題する記者発表会を開催した。内容は3月28日に発表された「Security Copilot」をベースとしたもので、MicrosoftにおけるAI活用として、どのように安全性を向上させつつ、実務に展開するかを紹介した。
12病院が同じ脆弱性でサイバー攻撃被害、厚労省の注意喚起が届かないこれだけの理由
社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。