「失敗は許されない」は時代遅れ ガートナーが示す新しいセキュリティの考え方

ガートナーはCISOがサイバーセキュリティの「対応・復旧」の優先度を「防御」と同じレベルまで引き上げるべきだと発表した。失敗を許容する組織が対応・復旧の強化および持続可能な戦略的レジリエンスの実践に不可欠としている。

[後藤大地，有限会社オングス]

　ガートナージャパンは2024年7月24日、CISO（最高情報セキュリティ責任者）がサイバーセキュリティの「対応・復旧」の優先度を「防御」と同じレベルまで引き上げることが重要であると発表した。従来の「失敗は許されない」という考え方は時代遅れであり、「対応・復旧」の優先順位を引き上げることで高い価値を生み出すと主張する。

　CISOは「失敗を許容する組織」「最小の労力で最大の効果をもたらすツール」「レジリエントなサイバー人材」の3つの活動領域に注力すべきであるとし、その具体的な方策を示している。

Gartner、セキュリティ／リスク・マネジメントのリーダーがサイバーセキュリティのアプローチを拡張すべき3つの分野を特定（出典：GartnerのWebサイト）

失敗を許容する組織の構築：ガートナーが示す新しいサイバーセキュリティ戦略

　Gartnerは「対応・復旧」の優先度を「防御」と同じレベルまで引き上げるサイバーセキュリティ機能を「サイバーセキュリティの拡張」と呼んでいる。この機能を実現するため、CISOは次の3つの活動領域に注力すべきだと指摘している。

失敗を許容する組織

　CISOは生成AIとサードパーティー利用のサイバーセキュリティ対策に重点を置き、失敗を許容する組織を構築する必要がある。生成AIの急速な進化に伴い全ての攻撃を防ぐことは不可能であり、問題に適応し対応する能力が必要になっている。

　これを補完するためのガイダンスとして「サイバーセキュリティの拡張」のハンドブックが有用となる。サードパーティーリスク管理においてはデューデリジェンスの質問増加ではなく、事業継続管理の文書化とテストが不可欠だ。

　CISOは出口戦略や代替サプライヤーリスト、インシデント対応プレイブックを含むコンティンジェンシ・プランを策定するよう事業推進責任者を指導する必要がある。

最小の労力で最大の効果をもたらすツール

　「失敗は断じて許さない」という考え方がサイバーセキュリティに根強く浸透している。CISOは「古いツールを使い続けつつ新しいツールを性急に導入する悪循環」を止めるべきであり、必要最小限のツールの採用が肝要だ。

　CISOはツールセットの冗長や不足を特定し、テクノロジーの概念実証を行い、生成AIを活用した効率化を追求することが推奨される

レジリエントなサイバー人材

　レジリエントなサイバー人材を育成するために、セルフケアを組み込んだ従業員支援プログラムや、レジリエンスを能力として扱う支援、業務プロセスの見直しが推奨される。

　CISOは支援プログラムを提供して「無事故」の実績を示すとともに、失敗例や学びを共有することにも取り組んでいきたい。

　バイスプレジデントリサーチャーを務めるクリスティン・リー氏は次のように述べている。

　サイバーセキュリティの新たなディスラプションが起こるたびに、CISOが戦略的な対応ではなくアドレナリンで乗り切ろうとしている状況が露呈していますが、これは持続可能なアプローチではありません。組織を継続的に防御するには、戦略的レジリエンスの実践が重要です。

　バイスプレジデントアナリストを務めるマーク・ホーヴァス氏は次のように述べている。

　セキュリティ業界は、防御の面においては驚くほどの進歩をとげました。しかし、対応／復旧の面においては、「失敗は断じて許さない」という考え方が根強いため、十分に成熟していません。予防的なサイバー投資にもかかわらず、サイバー攻撃が頻繁に発生し、その影響も大きくなっている現在、「対応／復旧」の優先度を「防御」と同じレベルまで引き上げるためのアプローチの拡張が必要です。

　詳細については「Augmented Cybersecurity: Key Strategies to Navigate Chaos and Complexity」から確認できる。