2023年 9月19日公開

【連載終了】企業のITセキュリティ講座

サイバーセキュリティ対策は「人間中心」へ、ガートナーが提言

ライター・吉澤亨史

  • セキュリティ

世界最大規模のITリサーチおよびITアドバイザリー企業である米Gartner(ガートナー)社は2023年4月、2023年のサイバーセキュリティにおける九つのトップ・トレンドを発表した。ガートナーは、「セキュリティ・リーダーは、効果的なサイバーセキュリティ・プログラムを確立するために、『人間中心』へと焦点を転換すべき」としており、テクノロジーの要素と人間中心の要素における投資のバランスを見直す必要があるとしている。ここでは、ガートナーの九つのトップ・トレンドを読み解く。

1. トレンドは昨年の七つから九つに

世界最大規模のITリサーチおよびITアドバイザリー企業である米Gartner(ガートナー)社は2023年4月、「2023年におけるサイバーセキュリティの九つのトップ・トレンド」を発表した。ガートナーは市場の調査・分析能力に優れており、同社の発表は多くの企業が注目している。

サイバーセキュリティのトップ・トレンドは主に、セキュリティ/リスク・マネジメント(SRM)のリーダーを対象としたレポートとなっている。日本でいえば、セキュリティ部門やリスク管理部門のリーダーということになる。このSRMのリーダーがサイバーセキュリティ・プログラムを策定して実施する際には、これらのトレンドを踏まえるべきであるというものだ。

今回、選ばれたトレンドは次の九つとなっている。

  1. 人間中心のセキュリティ・デザイン
  2. セキュリティ・プログラムを持続させるための人材管理の強化
  3. サイバーセキュリティのオペレーティング・モデルを変革して価値の創出をサポート
  4. 脅威エクスポージャー管理
  5. アイデンティティ・ファブリック・イミュニティ
  6. サイバーセキュリティ・バリデーション
  7. サイバーセキュリティ・プラットフォームの集約
  8. コンポーザブル・ビジネスにはコンポーザブル・セキュリティが必要
  9. 取締役会はサイバーセキュリティの監視能力を拡大

ちなみに、昨年に公開された「2022年におけるサイバーセキュリティのトップ・トレンド」は七つで、次の通りであった。

  1. 攻撃対象範囲の拡大
  2. アイデンティティ・システムの防御
  3. デジタル・サプライチェーンのリスク
  4. ベンダーの集約
  5. サイバーセキュリティ・メッシュ
  6. 意思決定の分散化
  7. ビヨンド・アウェアネス(セキュリティ意識)

2023年版の大きなポイントは、「人間中心」というキーワードを前面に押し出していることだ。「人間中心のアプローチでサイバーセキュリティに取り組むことは、セキュリティ障害を減らすために不可欠」であり、「人間に焦点を絞ることにより、ビジネス・リスクに関する意思決定や、サイバーセキュリティ・スタッフの定着率を改善できるようになる」としている。

SRMのリーダーはそのために、「セキュリティ・プログラムの成功と持続に不可欠な人材の役割」、「組織のデジタル・エコシステム全体にわたって可視性と即応性を向上させるセキュリティの技術能力」、「セキュリティを損なうことなく俊敏性を高めるセキュリティ機能の運用方法の再構築」の三つの領域に注力する必要があるとしている。

「SRMリーダー」の位置づけ(Gartner「2023年のリーダーシップ・ビジョン」より)

目次へ戻る

2. 「人間中心」のサイバーセキュリティ対策とは

トレンド1では、人間中心のセキュリティ・デザインがセキュリティ全体で従業員エクスペリエンスを向上させるとしている。2027年までに、大企業のCISO(最高情報セキュリティ責任者)の50%は、人間中心のセキュリティ・デザイン・プラクティスを採用して、サイバーセキュリティに起因するストレスを最小限に抑えながら、コントロールを実装できるようになると予測している。

CISOは、過去のサイバーセキュリティに関連する事故を検証して、サイバーセキュリティに起因するストレスの主な発生源を特定するとともに、人間中心のセキュリティを通じて従業員の負担の軽減が可能な部分や、リスクの軽減に対しストレスが大きすぎるコントロールの見直しを判断する必要がある。サイバーセキュリティのリーダーはこれまで、テクノロジーとプロセスの改善に着目し、人材には目を向けてこなかったと指摘している。

人間中心のアプローチでタレント・マネジメントに取り組んでいるCISOは、有能な人材を引き付けて定着させるために機能面および技術面の成熟度を向上させている。ガートナーでは、組織の60%が2026年までにサイバーセキュリティと雇用の体系的な課題に対応するために、外部からの採用を止め、社内人材市場からの「静かな採用」に移行するとみている。これが「トレンド2:セキュリティ・プログラムを持続させるための人材管理の強化」である。

「社内で流動的に採用ができるほど人材がいない」という声もあるだろう。しかし、現在はデジタル化やDXの進展によって、多くの部門でITが導入されている。ガートナーの調査によると、こうしたテクノロジーに携わる従業員は既に41%に上っており、この傾向は今後5年間にわたって強まっていくとみている。

IT人材をセキュリティ人材に育てるには教育が必要となるが、同時にストレスの少ないサイバーセキュリティに変えていくことも求められる。そしてCISOは、サイバーセキュリティのオペレーティング・モデルを修正して、業務の進め方を統合する必要がある。サイバーセキュリティは、ビジネスの成果や優先課題に照らして成功を測定し、報告することで、ビジネスの価値へと結び付けることが求められる。

ガートナーでは、SRMリーダーは従来とはまったく異なるアプローチでセキュリティ・トレーニング・プログラムを行う必要があるとしている。その実行の指針として、ガートナーでは「Gartner PIPEフレームワーク」を発表している。

ガートナーのGartner PIPEフレームワーク(Gartner「2023年のリーダーシップ・ビジョン」より)

目次へ戻る

3. トレンドを反映したセキュリティ対策とは

トレンド4から8は、具体的なセキュリティ対策のトレンドを紹介している。「脅威エクスポージャー管理(CTEM)プログラム」は、拡大し複雑化する企業のアタック・サーフェス(攻撃対象範囲)を把握するための評価プラクティスを進化させるもの。2026年までに、CTEMプログラムに基づいてセキュリティ投資の優先順位を設定している組織は、セキュリティ侵害を2/3減らせるようになると予測している。

「アイデンティティ・ファブリック・イミュニティ」とは、アイデンティティ管理のインフラにおける免疫と直訳できる。アイデンティティ管理のインフラが分散化したり、コンポーザブル型に進化したりする中で、不完全な要素や誤設定された要素、あるいは脆弱な要素が存在すると、その影響はアイデンティティのインフラ全体に広がる。アイデンティティ・ファブリック・イミュニティの原則に従うことで、不完全な要素などを早期に検知して対処できる。

サイバーセキュリティ・バリデーションは、特定された脅威エクスポージャー(悪用される可能性のあるポイント)を潜在的な攻撃者がどのように悪用するか検証するために用いる、技術、プロセス、ツールをまとめたもの。これらは近年大幅に進歩しており、自動化にも有効となる。2026年末までに、2/3の中堅企業を含む組織の40%以上では、統合プラットフォームを活用してサイバーセキュリティ・バリデーション評価を実行するようになるとしている。

サイバーセキュリティ・プラットフォームの集約は、サイバーセキュリティの多くがベンダーのプラットフォームにより提供されるケースが多く、このプラットフォームを共通化することで、重複している部分を排除して最適化できる。コンポーザブル・セキュリティは、セキュリティ機能をモジュールとして適用できるアプローチのこと。これは、変化するビジネスに対応するもので、新たなアプリケーションに対し迅速なセキュリティ対策を可能にする。

トレンドの最後は、サイバーセキュリティのリーダーは、サイバーセキュリティ・プログラムが組織の目標や目的にもたらす影響を示したレポートを、取締役会に提供すべきというもの。これは、取締役の責任を強化するために、サイバーセキュリティに関して明示的レベルの説明責任が課される傾向にあるためだ。

ガートナーのレポートは、米国でも最新のトレンドとなっているため、すぐに普及するものではない。また、そのトレンドが日本で導入されるまでには2~3年かかることが一般的だ。ただし、人間中心のセキュリティの重要性については日本においても今後ますます高まるため、理解しておく必要があるだろう。

目次へ戻る

関連記事

【お知らせ】がんばる企業応援マガジン最新記事のご紹介