ニュース
セキュリティにおける“4つの誤解”とは何か?――ガートナーが指摘
ガートナーは多くの企業が抱きがちなサイバーセキュリティに関する4つの誤解(先入観)を指摘し、それらがセキュリティの効果を阻害しているとした。
ガートナージャパン(以下、ガートナー)は2023年7月26日、サイバーセキュリティに対する4つの誤解(先入観)を指摘し、それらがセキュリティ効果を低下させていると警告した。
セキュリティにおける“4つの誤解”とは何か?
ガートナーが指摘している4つの誤解とその影響は以下の通りだ。
- 多くの企業がリスク分析を増やすことでよりセキュアになると考える。しかし全てのリスクを定量化することは現実的ではなく、分析だけでは誰がどのように対処して責任を追うのかといった、実際の行動に結び付けることは困難だ。やみくもに高度なリスク分析を増やすことは逆効果であり、現状のセキュリティレベルと掛けているコストに応じたアクションを、ビジネス成果に結び付けることが重要だ
- 多くの企業がツールを増やすことでよりセキュアになると考える。しかしセキュリティツールや技術に投資し、サービスや製品を調達してもセキュアになったという実感は得られないことが多い。調達に躍起になるのではなく、まず技術に掛かるリソースの可視化と削減、技術の相互運用性と適応性について考える必要がある
- 多くの企業がセキュリティ専門家を増やすことでよりセキュアになると考える。だが、セキュリティ人材が340万人不足していると指摘されているように、専門家を調達するのは困難な状態にある。人材採用に力を入れるより、非IT部門の従業員が専門知識を習得できるように支援することの方が現実的かつ効果的だ
- 多くの企業が締め付けを強めることでよりセキュアになると考える。実際に過半数の従業員がサイバーセキュリティにとって安全ではない行動を取っていると調査もある。だがセキュリティルールを強化して締め付けを実施するという対応は逆効果でしかない。従業員が簡単に安全な行動を取れるように環境を整えることの方が大事だ
ガートナーはセキュリティリーダがこれらの先入観を払拭し、サイバーセキュリティのリスクを的確に捉えてビジネス部門と連携し、最小の労力で最大の効果を得るように行動するべきだと提言した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 宮本武蔵と孫子に学ぶ、セキュリティアプローチの極意
サイバー攻撃が激しさを増す今、企業には新たなセキュリティアプローチが求められている。ガートナーの礒田氏が目指すべき方向性と今後需要が増すセキュリティトピックを語った。 - 経営層の理解が進むのはいいことばかりじゃない? セキュリティ支出を巡る事情
経営層はサイバーリスクを現実的な脅威だと認識し始めるようになった。これに合わせてIT予算のうちセキュリティが占める割合も改善傾向にある。 - 「ソフトウェアアップデートは逆効果」 Twitter社の元CISOが“セキュリティ神話”を切る
セキュリティ業界で“常識”と考えられていることも実際は逆効果になっているのかもしれない。Twitter社でCISOを務めた現役ハッカーが、データを基に“セキュリティ神話”に疑問を投げかけた。 - ガートナー、セキュリティ人材強化に向けた3つのステップを公開
ガートナーはセキュリティ人材の強化に向けて3つのステップを発表した。セキュリティ人材不足が続く今、その強化は企業における喫緊の課題となっている。