セキュリティの
学び場

今回の解説ニュース

セキュリティにおける4つの主な先入観について発表されています。発表されているセキュリティに関する先入観と、払拭するために実行すべきアクションについて説明します。

今回の発表は、セキュリティの主な「先入観」によって、その労力に見合った効果がもたらされていないというものです。セキュリティにおいて打破しなければならない4つの主な先入観として「リスク分析を増やす」「ツールを増やす」「サイバーセキュリティ専門家を増やす」「締め付けを強める」ことでよりセキュアになると、誤解されていることが挙げられています。
セキュリティ・リーダーやCISOは、サイバーセキュリティに求められているのは、最小の労力で最大の効果をもたらすマインドセットであることを理解する必要があるということです。

4つの主な先入観「リスク分析を増やす」「ツールを増やす」を解説

リスク分析を増やすことを払拭すべき理由

全てのリスクを定量化することは現実的ではないことが挙げられています。同調査では、サイバーリスクの定量化が新たな行動につながると回答したCISOはわずか36%でした。経験豊富なCISOは「最小労力で最大効果をもたらす知見」を活用し始めているということです。

ツールを増やすことを払拭すべき理由

ほとんどの企業は、サイバーセキュリティ・ツールやテクノロジへの支出を増やしているにもかかわらず、セキュアになった実感は得られないと感じていることが挙げられています。CISOは「最小労力で最大効果をもたらすツール」を取り入れる必要があるということです。

まとめると、リスク分析もツール導入も、人的コストを鑑みながら検討すべき、と要約することができます。

4つの主な先入観「専門家を増やす」「締め付けを強める」を解説

サイバーセキュリティ専門家を増やすことを払拭すべき理由

サイバーセキュリティ専門家の需要は供給を上回っていることが挙げられています。同調査では、サイバーセキュリティ専門家が340万人不足しているといわれる一方で、需要は2022年だけでも65%増加しています。CISOは「最小労力で最大効果をもたらす専門知識」の習得を支援することで、チームの負担を軽減できるということです。まとめると、属人性を排除した標準化と仕組化が重要であると、要約することができます。

締め付けを強めることを払拭すべき理由

様々な不満や摩擦が生じるため、結果的に安全でない行動が発生することが挙げられています。最新調査によると、過半数の従業員がセキュリティの観点で安全でない行動を何かしらとっていると認識しており、93%の従業員は、自身のこうした行動が企業のリスクを増大させることを認めています。CISOは、最小労力で最大効果をもたらす従業員の手間のバランスがどこなのかを追求することで、従業員のユーザー・エクスペリエンスへの影響を最小限に抑えながら、コントロールの有効性のバランスを取ることができるということです。こちらもまとめると、従業員の生産性を確保しながらセキュリティ対策を推進することが必要であると、要約することができます。