コンサルティング会社ガートナーが今週発表した2023~2024年のサイバーセキュリティ展望には、良いニュースと悪いニュースの両方が含まれている。最高情報セキュリティ責任者(CISO)が取締役会への影響力を発揮するのに苦労していた3年前と比べて、状況は大きく変化している。
Web 3.0、会話型人工知能、量子コンピューティング、サプライチェーンといった新興技術の台頭に加え、ますます巧妙化する攻撃のせいで、セキュリティリーダーは経営幹部レベルでより大きな影響力を持つようになっています。しかし、ガートナーのセキュリティリサーチ&アドバイザリチームのディレクターアドバイザリであるクレイグ・ポーター氏は次のように述べています。「脅威アクターはChatGPTのような強力なツールにアクセスでき、検出を回避できるポリモーフィック型のマルウェアコードを生成したり、さらには説得力のあるメールを作成したりすることができます。セキュリティ専門家にとって、なんと楽しい時代なのでしょう!」
ジャンプ先:
- セキュリティを脅かすものは何ですか?ストレスにさらされているチーム
- 解決策としては期待を調整することが含まれる
- 組織はプライバシーを競争上の優位性にすべきである
- その他の予測
- 脅威に対抗するために進化する
参照:クラウド資産に関するタレスのレポート、セキュリティ上の新たな悩みの種 (TechRepublic)
セキュリティを脅かすものは何ですか?ストレスにさらされているチーム
ガートナーは、2025年までにサイバーリーダーのほぼ半数が転職し、25%が仕事関連のさまざまなストレス要因によりまったく異なる役割に移ると予測しています。
「これはパンデミックと業界全体の人員不足によって引き起こされたさらなる加速だ」とポーター氏は述べ、セキュリティチームは何か問題が起きたときには注目されるが、攻撃が成功しなかったときには称賛されないと付け加えた。
「サイバーセキュリティの仕事におけるストレスは増大しており、もはや持続不可能になりつつあります。常に『いい子』で、『素晴らしい子』とは言い切れないようです。セキュリティリスク管理の専門家としての仕事では、ハッキングされるかされないかのどちらかしかあり得ません。そのため、セキュリティリスク管理のリーダーは限界の瀬戸際に立たされ、深刻な心理的影響を受け、意思決定やパフォーマンスに深刻な影響を与えています」と彼は述べた。
セキュリティ企業Splunkが4月に実施した調査は、ガートナーの調査結果と一致しています。Splunkの2023年版セキュリティレポートでは、以下のように述べられています。
- 北米、西ヨーロッパ、アジア太平洋地域の回答者の 88% が、サイバーセキュリティの人員とスキルに関する課題があると報告しました。
- 53% の企業は全体的に十分なスタッフを雇用できないと回答し、59% の企業は適切なスキルを持つ人材を見つけられないと報告しました。
- 81% の回答者は、重要なスタッフが燃え尽き症候群のために別の仕事を求めて組織を去ったと回答しました。
- 回答者の4分の3以上が、仕事量の増加により新しい役割を探すことを検討していると回答しました。
- 77% が、1 つ以上のプロジェクト/取り組みが失敗したと回答しました。
解決策としては期待を調整することが含まれる
ガートナーは、セキュリティおよびリスク管理のリーダーは文化を変える必要があると示唆しています。
「サイバーセキュリティのリーダーは、ステークホルダーとの協働的な設計、責任の委譲、そして何が可能で何が不可能か、そしてその理由を明確にすることで、エンゲージメントのルールを変えることができます」とポーター氏は述べています。さらに、リスクに関して人々が自律的に意思決定できる文化を築くことは「絶対に必要だ」と付け加えました。
参照: Googleがサイバーセキュリティの低価格オンライン認定を提供(TechRepublic)
同氏は、組織は、セキュリティ プログラムの長所と限界を正確に把握して、自律的でリスクを認識した意思決定を強化し、期待を管理するために、文化の転換を優先すべきだと述べました。
「そして、人的エラーを組織内のサイバーセキュリティ疲労の重要な指標として活用する」とポーター氏は付け加えた。
組織はプライバシーを競争上の優位性にすべきである
ガートナーは、2024年までに現代のプライバシー規制が消費者データの大部分を網羅するようになるものの、プライバシーを競争優位性にうまく活用している組織は10%未満になると予測しています。ガートナーは、パンデミックによってプライバシーへの懸念が高まった今、組織はプライバシーの進歩を活用することでビジネスを強化する明確な機会を得ていると指摘しました。
「この傾向の拡大を示す一般的な統計として、いくつかの基本的なプライバシー権を享受できる世界人口の割合は、清潔な飲料水を享受できる世界人口の割合を上回っている」と彼は述べた。
同氏は、罰金、違反、評判の悪化を回避することが、プライバシー プログラムを導入した組織にもたらされる最も重要なメリットであると述べました。しかし、それに加えて、企業はプライバシー プログラムによって競合他社との差別化を図り、顧客、ビジネス パートナー、投資家、規制当局、一般の人々との信頼関係を構築できることも認識し始めています。
「欧州連合(EU)の一般データ保護規則(GDPR)に倣い、より現代的なプライバシー法を導入する国が増えていることで、個人情報の取り扱いに関する欧州の基準が事実上の世界標準となる境界を超えました」とポーター氏は述べた。彼はセキュリティおよびリスク管理のリーダーに対し、一般データ保護規則(GDPR)に沿った包括的なプライバシー基準の施行を勧告した。競争が激化する市場において、そうすることが企業の差別化要因となるだろうと彼は述べた。
「これはビジネスチャンスです。これはいわば新しい『グリーン化』や『クルエルティフリー』、『オーガニック』といったものです。こうしたラベルはすべて企業の価値提案を物語っています。だからこそ、プライバシーを競争上の優位性として活用しない手はないのです」と彼は述べ、Appleはプライバシーを強力に推進しており、一部の市場ではプライバシーキャンペーンによって44%の成長を遂げたという報告もあることを指摘した。
その他の予測としては、ゼロトラストを導入する大企業が増えることなどが挙げられます。
ガートナーの今年と来年の予測は次のとおりです。
- 2025 年までに、リーダーの 50% がサイバーリスクの定量化を利用して企業の意思決定を推進しようと試みるが、失敗するでしょう。
- 2026 年までに、包括的かつ成熟した測定可能なゼロトラスト プログラムを導入している大企業は 1% 未満から 10% に増加します。
- 2026 年までに、脅威検出調査および対応機能の 60% 以上が、エクスポージャー管理データを活用して脅威を検証、優先順位付け、検出するようになります。
- 2026 年までに、取締役会の 70% にサイバーセキュリティの専門知識を持つメンバーが 1 人含まれるようになります。
- 2027 年までに、大企業の CISO の 50% が、サイバーによる摩擦を最小限に抑え、制御の採用を最大化するために、人間中心のセキュリティ プラクティスを導入するようになります。
- 2027 年までに、従業員の 75% が IT 部門の監視外でテクノロジーを取得、変更、または作成するようになります (現在の 41% から増加)。
脅威に対抗するために進化するが、迅速に行う
ガートナーの概要から得られた重要なポイントは、組織は自転車に乗りながらタイヤにパッチを当てる必要があるという点でした。「もしまだそうしていないのであれば、適応する必要があります」とポーター氏は述べ、ほとんどの企業の取締役会がサイバーリスクを管理すべき最大のビジネスリスクと見なすだろうと付け加えました。「…今後4~5年で、テクノロジー関連の業務は大きく分散型モデルに移行すると予測しています」と彼は述べています。
ポーター氏はまた、CISOが経営幹部や取締役会からどのように認識されているかに関しても大きな変化があったと述べた。3年前、CISOはリスクや脅威について経営幹部の中で発言権を得るのに苦労していた。「私たちは、その状況が劇的に変化したのを目の当たりにしてきました」とポーター氏は述べた。
ガートナー社のプレゼンテーションには、自己啓発の第一人者ブライアン・トレーシー氏の適切な引用が含まれていました。「…急速に変化する時代に、立ち止まることは最も危険な行動です。」
