サイバーセキュリティリーダーが侵害に適切に備える方法：Gartner Insights Pickup（270）

CISO（最高情報セキュリティ責任者）は重大なセキュリティインシデントを心配する。こうしたインシデントが発生すると社内での地位も脅かされると考えるからだ。だが、実際には、CISOは主に侵害への対応で評価される。

[Lori Perri, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

要約

• CISO（最高情報セキュリティ責任者）は「重大なサイバーセキュリティ侵害が発生すると、たちまち自身の職を失う」と心配するかもしれない。だが、Gartnerの調査は、そうではないことを示唆している
• CISOはインシデント対応で評価される。侵害の発生を未然に防ぐ能力で評価されるわけではない
• CISOは、侵害が発生してから慌てて対応するのではなく、侵害に対する組織の備えを、事前に準備することで実力を証明できる

　CISOは「重大なセキュリティ侵害が発生すると自身の職を失う」と心配し、長期的な取り組みよりも短期的な優先事項に注力したくなるかもしれない。だが、実際には、ほとんどのCISOはキャリアの中で重大なセキュリティ侵害を経験するものの、多くの場合、侵害が発生したという事実よりも、インシデント対応の有効性で評価される。

　CISOが侵害を理由に解雇されるケースもまれにあるが、その場合、CISOはインシデント対応の準備や計画の際に、ビジネスへの被害を適切に軽減するためのデューデリジェンス（事前調査）を怠っていた可能性が高い。

　準備と実際の対応に時間と注意を向けることで、インシデント対応の全体的な効果が高まり、取締役会、CEO（最高経営責任者）、他のCxO（Cレベルの経営幹部）の期待によりよく応えられる。

　「私たちの調査では、CISOの在任期間は、CISOがコントロールできない事象よりも、コントロールできる事象によって直接的に決定されることが分かっている。この理想的な現実を受け入れ、短期目標と長期目標の適切なバランスを取るとよい。そのためには、目標とプロジェクトポートフォリオの適切な優先順位付けが必要になる」と、Gartnerのリサーチ担当でシニアプリンシパルのジョシュ・マーフィ（Josh Murphy）氏は語る。

セキュリティ侵害後にCISOが転職する理由

　CISOが重大なセキュリティ侵害後に退職する場合、その理由は幾つかある。多くの場合はキャリアアップのためだ。重大な侵害に遭い、新しい業界で、あるいは新しい技術を利用して、働きたくなるかもしれない。また、侵害からの復旧当初に大きなストレスを抱えた結果、ワークライフバランスを振り返り、自分にとってより持続可能なライフスタイルを志向して、仕事を調整したいと考える場合もあるかもしれない。

　いずれにしても、重大な侵害に適切に備えられれば、CISOは自身の役割に安心感を持つことができるだろう。企業は、これまで以上にCISOが評価されるようになっているからだ。

CISOが侵害に適切に備えるための3つの対策

• 現在の優先順位の高い目標を踏まえ、セキュリティ投資について、個人、部署、ビジネスの目標達成に役立つ決定を下す
• インシデント対応計画が経営陣に承認されていることを確認する。この計画は定期的に見直し、年に1回テストする
• インシデントから学び、今後の対応を強化する

　ビジネスへの被害を十分に軽減するために必要な対応策を実施できれば、侵害への備えが整う。自らがコントロールできることに目を向け、準備と対応に注力することで、全社的なセキュリティ意識を高めるとともに、対応策をテストし、改善する機会を提供し、行動変革を促せる。

出典：3 Ways Cybersecurity Leaders Can Prepare for a Breach（Smarter With Gartner）

筆者　Lori Perri

VP Program Director