ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、日本のセキュリティ/リスク・マネジメント (SRM) のリーダーが2023年に押さえておくべき重要な論点を発表しました。開催中のガートナー セキュリティ&リスク・マネジメント サミット2日目の基調講演において、バイス プレジデント アナリストの礒田 優一が、人中心のセキュリティの重要性を解説しました。
絶え間ない脅威の変化、働き方の多様化、デジタルや地政学のトレンド、サプライチェーンのセキュリティ・リスクの増加など、変化への対応がますます求められる時代においては、これまでのセキュリティの取り組みや考え方が通用しなくなっています。
「誰の何が良くなるのかを考えるセキュリティ」へ
礒田は次のように述べています。「セキュリティの取り組みとして実施すべきことが山ほどある中で、単に目の前のセキュリティの取り組みを粛々と行うだけでは、もはや評価はされませんし、終わりのない闘いに力尽き、燃え尽き症候群になる状況も回避する必要があります。SRMリーダーは、『誰の何が良くなるのか』を考え、人を中心にしたセキュリティの取り組みに進化させる必要があります。それには経営陣に分かる言葉で、明確なビジョンや戦略を描いて説明する必要があります」
セキュリティについて経営幹部に説明する際は、細かな機能面の説明をするのではなく、個人情報漏洩、サイバー攻撃、規制法案、などビジネスの観点からトップ・リスク、ビジネスへの影響を示しながら、戦略的なストーリーを展開し、説明することが重要です。そして、経営陣の素朴な疑問や関心に答える指標を提示し、セキュリティの取り組みに対して納得してもらう必要があります。
SRMリーダーは、素晴らしいビジョン、戦略を策定し、メンバーに示すとともに、経営者からもコンセンサスを得ることにより、セキュリティ組織の社内的なポジションを向上させ、明るいキャリア・プランを示すことが可能になります。
セキュリティ人材の強化
サイバーセキュリティの人材不足を課題に挙げる組織は依然として多く見られます。サイバーセキュリティと一言で言っても中身は多種多様であり、さらに昨今では、サイバーセキュリティに閉じたスキルのみではなく、日々変化するテクノロジ、法規制、社会環境のトレンドに対応できる能力を持った人材が必要になっているため、大きなチャレンジとなっています。
新たな時代のセキュリティ人材の強化に向けて、SRMリーダーは以下の3つのステップを押さえておく必要があります。
- サイバーセキュリティの知識/スキルの一覧を基に、ギャップ分析を行う
- 自社のデジタル戦略およびセキュリティのトレンドを踏まえて、インソーシングで賄う領域を調整する
- 新たな時代に向けてビジョン/戦略/フィロソフィを策定し、内発的動機を促す
これからの時代のセキュリティ人材の強化に当たっては、「マイクロマネジメント」から「人中心マネジメント」への転換が不可欠です。
礒田は次のように述べています。「現在は、すべてのタスクを人間が実施する必要はない世の中になっています。2023年に入り大きな話題となっているChatGPTは、セキュリティ・オペレーション、インシデント対応、アプリケーション・セキュリティなどの領域ですでに実装が始まっています。AI、自動化によって、人は、作業から解放され、その分の時間を自己投資に充てることができます」
セキュリティ領域のテクノロジ・トレンドを押さえる
SRMリーダーは、人が健康的に最高のパフォーマンスを発揮し、継続的に高い成果を上げることのできる環境を醸成することが重要です。礒田は次のように述べています。「メンバーが自ら学び成長していくためには、まずはリーダー自身が賢くなり、最新のトレンドを踏まえた議論に広く対応できるような感度を常に養っておくことが重要です」
急速に進化するビジネス・ニーズと攻撃対象の拡大に対応するためにはこれまでのオペレーションを変えていく必要があります。例えば、継続的な脅威エクスポージャ管理 (CTEM) はその点で重要性を増しています。またベンダーの整理統合といったトレンド (SASE、XDRやクラウド関連のセキュリティの領域など) にも着目し、取り組みを進める必要があります。
分散型の意思決定に進化させる
すべてを中央のIT部門やセキュリティ部門のみで管理するには限界があり、分散型の意思決定の議論が重要になっています。
「禁止」するセキュリティ対策は機能しません。人に自由を与えるセキュリティへと転換を図る必要があります。デジタルの取り組みが進む現場においては、完璧や詳細を求めるようなガイドラインを作成したとしても、無視され、陳腐化する可能性が高いです。
礒田は次のように述べています。「そもそもセキュリティは、単なるITの問題ではなく、経営および企業全体の問題です。どこか他人事のような経営者やビジネスリーダーに対しては、その意識を変えていく必要があります。またデジタルの現場においては、ブレーキではなく、ガードレールの提供が求められています」
新たな時代に向けて
ChatGPTなどの生成AIのトレンドをはじめとするテクノロジ・トレンドは日々変化しています。これからのデジタル時代のセキュリティは、サイバーセキュリティの脅威はもとより、こうしたデジタル・トレンドに合わせ、絶えず適応していく必要に迫られます。
礒田は次のように述べています。「動物は (人も) 『よく分からないもの』に対し本能的に恐怖を感じます。漠然とした恐怖や不安を取り除くには、それについて『理解』することが重要です。AIのリスクとは、漏洩やプライバシー、偽情報だけでありません。AI規制が進む背景への理解が必要です。また同時に、テクニカルなリスクについても押さえる必要があります。パブリックな大規模言語モデル (LLM) のみでなく、自社用にLLMを構築する例が今後さらに増えますが、そこでは様々なリスクが潜んでいます。AI TRiSM (AI Trust, Risk and Security Management: AIの信頼性/リスク/セキュリティ管理) の観点で、AIの確実性、信頼性、セキュリティ、データ保護といった対策を押さえて、新しい能力を獲得する必要があります。」
Gartnerのサービスをご利用のお客様は、リサーチノート「2023年の展望:セキュリティ・ガバナンスの進化」「セキュリティのビジョン、戦略、重要論点:2023年」「これからのセキュリティ人材:いかに強化すべきか」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
2023年におけるセキュリティ/リスク・マネジメントのリーダーの最優先課題については、eBook「2023年のリーダーシップ・ビジョン:セキュリティ/リスク・マネジメント」でご覧いただけます。
2023年7月26~28日に開催中のガートナー セキュリティ&リスク・マネジメント サミットでは、セキュリティ/リスク・マネジメントのリーダーおよびセキュリティの担当者が、即応性を持ってセキュリティ状況とそのためのテクノロジを評価し、その力を継続的に向上できるよう、さらなる分析や知見を提供します。コンファレンスのニュースと最新情報は、Twitterでご覧いただけます (#GartnerSEC)。
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのTwitterやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、こちらよりご参照ください。