「専門家が多いほどセキュアになる」は間違い ガートナーが「セキュリティで陥る4つの先入観」を解説：ポイントは「最小の労力で最大の効果を」

ガートナージャパンは、セキュリティに関して払拭すべき4つの「先入観」と実行すべきアクションを発表した。必要なのは「最小の労力で最大の効果をもたらすというマインドセットだ」としている。

[＠IT]

　ガートナージャパンは2023年7月26日、セキュリティに関して払拭（ふっしょく）すべき「4つの先入観」と実行すべきアクションを発表した。同社はセキュリティは企業にとって重要な取り組みだが「労力に見合った効果が得られていないケースがある」と指摘している。

プレスリリース

陥りがちな4つの先入観

　Gartnerのジェイ・ハイザー氏（バイスプレジデントアナリスト）は「セキュリティのリーダーに必要なのは、先入観に紛らわせられず、最小の労力で最大の効果をもたらすというマインドセットだ。ROI（投資利益率）に基づく戦略的なアプローチを取ることで、セキュリティは真の価値を発揮する」と述べている。

　ガートナージャパンでは、労力に見合う効果を得るために注意したい「4つの先入観」を挙げている。

リスク分析の回数を増やせば、それだけセキュアになる？

　サイバー攻撃の発生可能性を算出するなどデータ分析はセキュリティ強化に欠かせない。だからといって全てのリスクを定量化できるわけではないため、高度なリスク分析をやみくもに増やすことは逆効果だ。

　ハイザー氏は「経験豊富なCISO（最高情報セキュリティ責任者）は、多くのデータやアナリティクスを追いかけるのではなく、セキュリティへの投資額とその投資で対応可能な脆弱（ぜいじゃく）性の量を見極められる最小限の情報を集めている」と指摘している。

セキュリティツールを増やせば、それだけセキュアになる？

　Garnerによると、ほとんどの企業が新しい技術の導入に積極的になっているが、実際にセキュリティのツールや関連技術への支出を増やしているにもかかわらず「セキュアになった実感がない」という企業もあるという。ハイザー氏によるとそういった企業は「（目の前の課題を一気に解決するような）より良い製品やサービスがあるに違いないというマインドセットに陥っている」という。

　これを解消するためには新しい製品やサービスを採用する前に、それにかかる人的コストを可視化すること、そしてそれらの技術が相互運用性や適応性を備えているかどうかを検証することが重要だとしている。

セキュリティ専門家を増やせば、それだけセキュアになる？

　Gartnerのエンリケ・テシェイ氏（シニア ディレクター アナリスト）は、「セキュリティがDX（デジタルトランスフォーメーション）の大きなボトルネックとなっているケースがあるが、その大半は『本格的なサイバー対策を行えるのはセキュリティ専門家だけ』という先入観に由来している。人材が逼迫（ひっぱく）する中で人材採用に躍起になるのではなく、セキュリティの専門知識を一般化することが重要な解決策になる」と述べている。

締め付けを強めると、それだけセキュアになる？

　Gartnerの調査によると、従業員の過半数が「セキュリティの観点で何かしら危険な行動をとっている」と認識している。また、自身のそうした行動が企業のリスクを増大させることを認めている従業員は93％に上るという。

　テシェイ氏は、「従業員に安全な行動をとってもらうには、どれだけ従業員の協力を得られるかが重要になる。だが、『締め付け』によって行動をコントロールしようとすると、さまざまな不満や摩擦が生じる。結果的に危険な行動が発生しやすくなる」と分析している。

---

　これらの先入観を持たないように企業が注意し、サイバーセキュリティの取り組みから正しい価値をもたらすには以下の3つのポイントを念頭に置くべきだとGartnerは提言している。

• 「知見」「ツール」「専門知識」「従業員の手間」の観点から取り組みを推進すること
• あらゆる場所での人間中心のセキュリティデザインによるユーザーエクスペリエンスを取り入れて、サイバージャッジメントを育成すること
• サイバーセキュリティメッシュを使用して、永続的に新しいツールを取り入れること