CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か？ ガートナーが提言：「場当たり的な対応は続かない」と指摘

ガートナージャパンは、セキュリティリーダーに向けた提言を発表した。同社は「CISOが戦略的な対応ではなくその場の勢いで乗り切ろうとしているが、それは持続可能なアプローチではない」と指摘している。

[＠IT]

　ガートナージャパンは2024年7月24日、最高情報セキュリティ責任者（CISO）をはじめとするセキュリティリーダーに向けた提言を発表した。Gartnerのマーク・ホーヴァス氏は「セキュリティリーダーは『対応／復旧』の優先度を『防御』と同じレベルまで引き上げることで、高い価値を生み出せる」としている。

プレスリリース

「失敗を許容する組織」の構築が鍵に

　Gartnerのクリスティン・リー氏（バイスプレジデントリサーチャー）は、「サイバーセキュリティの新たなディスラプションが起こるたびに、CISOはその場の勢いで乗り切ろうとしているが、これは持続可能なアプローチではない。組織を継続的に防御するには、戦略的レジリエンスの実践が重要だ」と述べている。

　ガートナージャパンは、対応／復旧の優先度を防御と同じレベルまで引き上げることを「サイバーセキュリティの拡張」と呼んでいる。サイバーセキュリティの拡張をするためにはCISOは「失敗を許容する組織」「最小の労力で最大の効果をもたらすツール」「レジリエントなサイバー人材」という3つの活動領域に注力する必要があるという。

　“失敗を許容する組織”を構築するには「生成AI（人工知能）」と「サードパーティー利用」に注力すべきだとガートナージャパンは述べている。生成AIのように急速に進化する技術が必要な理由としては、全ての攻撃を常に防ぐことは不可能なため、対応／復旧する能力が重要になるからだ。サードパーティー利用については、事業部門がサードパーティーのインシデントに特化した事業継続管理を確実に文書化／テストすることが必要となると述べている。

　“最小の労力で最大の効果をもたらすツール”についてリー氏は、「CISOは、使用期限を過ぎた古いツールを使い続ける一方で、付随するコストや管理の複雑さを十分に理解しないまま、新しいツールを性急に導入している。組織のエクスポージャの悪用に対する観測／防御／対応に必要な最小限のツールを採用するという原則を受け入れる必要がある」と述べている。

　このためガートナージャパンは次のような行動を推奨している。

• コントロールフレームワークにツールセットを対応させて、冗長や不足の箇所を特定する
• 機能性だけでなく実装リスクに関しても、技術面での概念実証（PoC）を実施する
• 生成AIを活用した効率化を積極的に追求し、生成AIによる拡張を模索する

　“レジリエントなサイバー人材”についてホーヴァス氏は「CISOとそのチームはしばしば、英雄的行為を尊び、失敗を隠蔽（いんぺい）しようと考える」と指摘。インシデント発生時のカウンセリングやストレス緩和策などのウェルビーイングプログラムを従業員支援プログラムに組み込むことや、業務プロセスを見直して「燃え尽き症候群」を減らすなどの対策をした上で「これまでの無事故の実績を数字で示すことや、自身が失敗した例や、その経験から学んだことを率先して共有することも有効だ」と説明している。