「セキュリティ劇場」の幕を下ろすために：Gartner Insights Pickup（378）

「セキュリティ劇場」は、情報セキュリティ専門家として著名なブルース・シュナイアー氏が作った造語で、一見リスクを軽減できそうだが、実は実効性のないセキュリティ対策のことを指す。サイバーセキュリティリーダーが全てを保護できるふりをするセキュリティ劇場を終わらせるには、どうすればいいのだろうか。

[Richard Addiscott, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　情報セキュリティ専門家として著名なブルース・シュナイアー氏が20年以上前に作った造語である「セキュリティ劇場」。この言葉が表す事象は、いまだに驚くほど一般的だ。それは「一見リスクを軽減できそうな、実効性のないセキュリティ対策をすること」だ。残念ながら、こうしたセキュリティ対策が横行している。

　問題は、デジタル資産があまりにも大規模かつ複雑になり、サイバーセキュリティのリーダーが全てを保護できないのはもちろん、全てを保護できるふりをすることすらできなくなっていることだ。

　リモートアクセスが新たに利用されるようになった1990年代以降、パスワードの定期的な変更や複雑なパスワードの使用がセキュリティ上有効だと思われてきたが、それは人間の行動パターンを無視していた。今ではセキュリティ調査や意識向上トレーニング、ガバナンス／リスク／コンプライアンス（GRC）ツールが導入されているが、多くの場合、セキュリティ状況にほとんどまたは全く影響を与えない表面的な取り組みにとどまっている。

　実のところ、理論上有効なセキュリティ対策の多くは、複雑過ぎて実行するのが困難であることが判明している。一方、一定以上の順守度を期待できるほどシンプルな対策は、ほとんど役に立たない。