Gartnerが2023年のセキュリティトレンドを発表 企業がやるべき9つのトピック(2/2 ページ)
トレンド5:サイバーセキュリティ・オペレーティング・モデルの変革による、価値創出の支援
トレンド5は「サイバーセキュリティ・オペレーティング・モデル」の変革だ。ITの新たなオペレーションモデルの採用によって、アジリティを追求することが重要である。一般的な大企業のサイバーセキュリティ・オペレーティング・モデルは、「ビジネス部門とのやりとり」「セキュリティを有効にする方法」「機能の提供」の3層に分かれる。従来の方法では分散したサイバーリスクに対応するのが難しく、新たなモデルが必要となっている。
テシェイラ氏は、モデルの再構築は簡単ではないと話す。まずはセキュリティを既存のビジネスワークフローの中核機能として提供し、リスク判断を担う人に権限を与える。しかもその判断はサイロの中でなく、全社的な共有できるガバナンスを確立すること。そして、セキュリティがビジネスの成果をどうサポートしているかを示すことも必要だ。
トレンド6:コンポーザブル・セキュリティによるコンポーザブル・ビジネスの安全性の確保
トレンド6は「コンポーザブル・セキュリティ」の確保だ。コンポーザブル・ビジネスは、ビジネスをモジュール型のサブプロセスに分割し、組み合わせによってコントロールする考え方だが、セキュリティもコンポーザブルな思想で設計すべきだというのがGartnerの主張である。
「ビジネスプロセスを作り、活用している従業員は、クリエーターやキュレーター、コンポーザー、コンシューマーの4つの『C』に役割分担される。ここに5つ目の『C』としてCISOが参加することで再利用可能なセキュリティオブジェクトを提供できる」(テシェイラ氏)
CISOはコンポーザブルなビジネスアプリケーションがセキュアであることを確認し、安全性を確保する必要がある。
トレンド7:人間中心のセキュリティ・デザイン(HCSD)による、コントロール実装の強化と効率の向上
トレンド7は「人間中心のセキュリティデザイン」(HCSD)で、不安定な人間の行動をコントロールすることだ。行動科学やユーザーエクスペリエンスとセキュリティを関連付けるものだ。
技術だけでセキュリティを強化するのには限界がある。Gartnerの調査では、セキュリティ運用が日常業務に摩擦を引き起こすことが問題視されている。技術ではなく従業員を設計プロセスの中心に据えることで、コントロール性が向上し、サイバーインシデントが減少する。
人間中心設計のためにすべきことは、まずインシデントを分析して摩擦の原因を特定して削減する。次にユーザーインタフェース(UI)に対して影響が大きい部分について概念実証(PoC)を実施する。最終的にHCSDを実施して、ユーザーの満足度を評価指標として、改善度合いを測定するプロセスが必要になる。
トレンド8:人材管理の強化によるセキュリティ・プログラムのサステナビリティの向上
トレンド8はセキュリティ人材の管理と維持だ。持続的なセキュリティレベルの向上には優秀なセキュリティ人材を採用・育成することが重要である。タレントマネジメントの考え方に基づいて、セキュリティ人材の募集や交信、定着、離任に至る人材のライフサイクルを回していく。組織を離任する人を許容することも重要だ。
「セキュリティ人材に選んでもらうための組織のブランドづくりも必要である。どうすれば自社のセキュリティチームで仕事をしたいと思ってもらえるのかを考えるべきだ。CISOのリーダーシップで優秀な人材を獲得すれば、会社全体のセキュリティレベルの向上につながる」(テシェイラ氏)
人材獲得のための具体策は、業務と必要な人材のギャップを特定し、目標を設定する。次に前述のライフサイクルを採り入れる。社内の人事部門と連携して、サイバーセキュリティ部門の価値提案を行うなどの取り組みが考えられる。
トレンド9:取締役会による監視の強化によって促進されるサイバーセキュリティ・レポート機能の拡充
トレンド9は取締役会の監視強化である。これは今、多くの企業で実施されていることだとテシェイラ氏は言う。セキュリティがビジネスの重要事項となっていることの要因は、外部の規制が強化されていることもある。
「米国証券取引委員会(SEC)は、企業がセキュリティ侵害を受けた際に当局への報告を4日以内に実施することを求めようとしている。そのため取締役会は、サイバーセキュリティに対して関心を持たざるを得ない状況になっている」(テシェイラ氏)
この要件を実現するには、セキュリティ部門が提出するレポートに取締役会にとって必要な情報が全て入っているかどうかが重要だ。セキュリティレポートは技術的な記載だけでなく、取締役会のITリテラシーに合わせた内容としなければいけない。
テシェイラ氏は最後に「企業のセキュリティ対策はオペレーションの問題からビジネスの問題へと進化させ、セキュリティ投資に対する意志決定を支援するものにしていくことが必要である」と語った。
関連記事
積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。
ガートナー、2023年に考慮すべき4つのセキュリティテーマを指摘
ガートナーはセキュリティおよびリスク管理のリーダーが2023年に考慮すべき4つの主要なテーマを明らかにした。
セキュリティにおける“4つの誤解”とは何か?――ガートナーが指摘
ガートナーは多くの企業が抱きがちなサイバーセキュリティに関する4つの誤解(先入観)を指摘し、それらがセキュリティの効果を阻害しているとした。
新たなセキュリティトレンド「CTEM」とは? 実践時に直面する課題と対処法
サイバーセキュリティ専門メディアは「継続的な脅威露出管理」(CTEM)の実践を提言した。CTEMはどのようなセキュリティ概念で何を注意すればいいのか。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- メインフレームが誕生60周年 クラウド時代でも廃れない納得の理由
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- Microsoft 365のTeamsセット売り中止、裏にあった規制と競合の圧力
- イオンリテールの“AI値引き”適用商品拡大 導入の成果は?
- NTTデータ本間社長が語る 「ITサービス事業者が果たすべき役割」
- SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 偽のGoogle広告に要注意 ロシアの脅威グループが仕掛けるマルウェア配布手口
ITmediaはアイティメディア株式会社の登録商標です。