セキュリティにおける“4つの誤解”とは何か？――ガートナーが指摘

ガートナーは多くの企業が抱きがちなサイバーセキュリティに関する4つの誤解（先入観）を指摘し、それらがセキュリティの効果を阻害しているとした。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2023年7月26日、サイバーセキュリティに対する4つの誤解（先入観）を指摘し、それらがセキュリティ効果を低下させていると警告した。

ガートナーは、サイバーセキュリティにおいて払拭（ふっしょく）すべき4つの「先入観」と実行すべきアクションを発表した（出典：ガートナーのWebサイト）

セキュリティにおける“4つの誤解”とは何か？

　ガートナーが指摘している4つの誤解とその影響は以下の通りだ。

1. 多くの企業がリスク分析を増やすことでよりセキュアになると考える。しかし全てのリスクを定量化することは現実的ではなく、分析だけでは誰がどのように対処して責任を追うのかといった、実際の行動に結び付けることは困難だ。やみくもに高度なリスク分析を増やすことは逆効果であり、現状のセキュリティレベルと掛けているコストに応じたアクションを、ビジネス成果に結び付けることが重要だ
2. 多くの企業がツールを増やすことでよりセキュアになると考える。しかしセキュリティツールや技術に投資し、サービスや製品を調達してもセキュアになったという実感は得られないことが多い。調達に躍起になるのではなく、まず技術に掛かるリソースの可視化と削減、技術の相互運用性と適応性について考える必要がある
3. 多くの企業がセキュリティ専門家を増やすことでよりセキュアになると考える。だが、セキュリティ人材が340万人不足していると指摘されているように、専門家を調達するのは困難な状態にある。人材採用に力を入れるより、非IT部門の従業員が専門知識を習得できるように支援することの方が現実的かつ効果的だ
4. 多くの企業が締め付けを強めることでよりセキュアになると考える。実際に過半数の従業員がサイバーセキュリティにとって安全ではない行動を取っていると調査もある。だがセキュリティルールを強化して締め付けを実施するという対応は逆効果でしかない。従業員が簡単に安全な行動を取れるように環境を整えることの方が大事だ

　ガートナーはセキュリティリーダがこれらの先入観を払拭し、サイバーセキュリティのリスクを的確に捉えてビジネス部門と連携し、最小の労力で最大の効果を得るように行動するべきだと提言した。