経営層とセキュリティ現場の“埋まらない溝” ギャップ解消のためにできること：CIO Dive

CSAの調査によると、経営幹部とサイバーセキュリティ担当者の間で、セキュリティの役割に対する認識相違が生じている。このギャップを解消するには。

[Roberto Torres，CIO Dive]

　非営利組織Cloud Security Alliance（以下、CSA）が2023年8月3日（現地時間）に発表したレポートによると、経営幹部とサイバーセキュリティ担当者の間で、セキュリティに対する認識の相違が生じている（注1）。この調査は同年5月にセキュリティ関連企業のExpelがスポンサーとなり、1000人のITおよびセキュリティ専門家を対象に実施された。

“楽観的”な経営層と“悲観的”なセキュリティ現場　ギャップを埋める方法は？

　調査によると、経営幹部の半数は「クラウド導入時にセキュリティが優先されて、厳格に実施される」と回答した一方で、この意見に同意したセキュリティ担当者はわずか31％にとどまり、クラウドセキュリティの重要性に対して企業内で溝があることが分かった。

　同調査はセキュリティがいつ開発プロセスに組み込まれるかについての認識の違いも示している。経営幹部の5人に2人が「セキュリティは製品開発中に実施され、継続的に改善される優先事項である」と回答したのに対し、セキュリティ担当者においてはその割合は4分の1人強にとどまった。

　サイバーセキュリティ対策は、金銭的被害や風評被害から企業を守ることにつながる。IBMのデータによると、2022年にデータ侵害に見舞われた米国企業は平均940万ドルの被害を受けている（注2）。

　しかしサイバーセキュリティに対する考え方は組織の中で異なっている。今回の調査対象となった経営幹部の半数は「強力なセキュリティ体制は企業の競争優位性を高める」と回答しているが、一方でその意見に同意したセキュリティ専門家は3人に1人強にすぎない。

　CSAの分析によると、経営幹部は自社のサイバーセキュリティ対策を過信している可能性があり、「経営幹部は全体像を見据える中で、組織の志向を反映した楽観的な見方をする傾向があるが、特定の領域で働くセキュリティ担当者は日々の運用に基づいた実践的な視点を持っているかもしれない」とレポートで報告している。

　サイバーセキュリティリスクが高まる中（注3）、既存のスキルギャップを埋めるためのトレーニングプログラムやベンダーのセキュリティツールへの依存度を高めるなど、リーダーは社内のセキュリティ体制を強化するためにさまざまな戦略を試みている。

　企業の努力や政府機関の関心の高まりにもかかわらず、セキュリティリーダーの大半は、今後1〜2年のうちにサイバーセキュリティインシデントによって事業が混乱すると予想していることを、Cisco Systemsのデータが示唆している（注4）。データによると、このリスクに立ち向かう準備ができていると感じているのは、わずか15％だという。

　CSAによれば、組織のサイバーセキュリティ体制を強化するには、コミュニケーションが重要になるという。「経営幹部は効果的なコミュニケーション戦略を確立した上で、セキュリティ担当者に対して業務の影響を共有し、組織のビジョンへの賛同を引き出す必要がある。同様に、セキュリティ担当者が自分たちの現実や課題をリーダーと共有できる環境を設けることも重要だ」とCSAの報告書は述べている。

（注1）Security-enabled innovation and cloud trends report from Cloud Security Alliance (CSA)（expel）
（注2）Data breach costs spread downstream, IBM says（Cybersecurity Dive）
（注3）Economic volatility to exacerbate cyber risk in 2023（Cybersecurity Dive）
（注4）Ill-prepared against cyberattacks? You’re not alone, Cisco says（CIO Dive）

原文へのリンク