セキュリティ強化のためにまずやるべきことは“脆弱性管理ではない”？：CIO Dive

ソフトウェアサプライチェーンの脆弱性が相次ぎ、CIOにはセキュリティ強化が求められている。これに向けて脆弱性管理やオープンソースの出どころを調査する取り組みを多くの企業が進めているが、これらの他にまずやるべきことがあるという。

[Lindsey Wilkinson，CIO Dive]

　マシンアイデンティティー管理大手のVenafiがスポンサーを務めるColeman Parkesの調査によれば（注）、サイバー攻撃の脅威を理解するCIO（最高情報責任者）がいる一方、リスクを軽減するための組織改革をしていないCIOがいることも明らかになった。

　調査対象となった1000人のCIOのうち、ソフトウェアサプライチェーンを保護するために必要なセキュリティ管理について、95％の情報セキュリティチームは「権限を持っている」と回答している。しかし約3分の1の情報セキュリティチームは、自分たちが推奨するポリシーを実行する権限を持っていない。

　取締役会またはCEOは、10人に9人近くのCIOにソフトウェア開発のセキュリティを改善するよう指示した。

セキュリティ強化で重要なのは、脆弱（ぜいじゃく）性管理“ではない”

　「SolarWinds」や「Apache Log4j」などソフトウェアサプライチェーンの脆弱（ぜいじゃく）性を狙ったサイバー攻撃が相次ぎ、CIOの関心が高まっている。これらのサイバー攻撃は取締役会の注目を集めるとともに、リスクの許容度を高め、当然ながら責任も重くしている。