場当たり的なセキュリティ対応からの脱却

　技術の急速な革新やサイバー攻撃の凶悪化、法制面の変更などを背景に、セキュリティ領域における課題は高度化・複雑化する一方だ。その中での対応は、得てして個々の課題に特化した、場当たり的なものになりがちだ。

　「無論、それらが重要なことは言うまでもありません。ただ、目前の課題に注力するだけでは疲弊し、担当者が燃え尽き症候群に陥りかねません」と注意を促すのは、Gartner バイスプレジデント, アナリストの礒田優一氏である。

　回避に向けた“処方箋”として礒田氏が推奨するのが、状況を俯瞰的に捉えた上での中・長期的な視点での対応策の検討である。そして、その出発点と位置付けるのが、自律的・継続的なセキュリティ改善に向けた、多様な変化が続く中での「セキュリティ・ガバナンスの確立」だ。


　礒田氏がそのために検討すべきテーマとして示したのが次の5つである。1つ目は「経営とのコミュニケーション」だ。

経営の「素朴な疑問」に応える重要性

　一昔前、経営層の中には情報セキュリティを経営とは別次元の問題だと捉える人が少なくなかった。それも今では大きく改善し、「世界の取締役の84％がサイバーセキュリティをビジネスリスクとみなし、経営者自身が説明責任を含め法的責務を負うと考えるようになっています」（礒田氏）。


　ただ、セキュリティリーダーにとって厄介なのが、サイバー攻撃や新たな働き方、AIとその規制法など、リスクの多様化・複雑化を背景に、経営層へのセキュリティに関する適切な報告の難度が着実に増していることである。

　その中で礒田氏が必要性を強調するのが、最低でも年に1回以上の経営層への自社が抱えるリスクの説明と、その低減に向けた施策の伝達だ。

「その中でおすすめしているのが、『規制に対応できているか』『責任ある企業として最低限の対応ができているか』『どこまでやるのか、他社とくらべてどうか』など、“経営の素朴な疑問”に応える指標を用いた説明です。これなら関心を持ってもらいやすく、セキュリティリスクについて、それだけ深い経営との議論が可能です。マルウェアの更新状況や検知数などの従来からの報告では技術の問題と捉えられかねず、経営課題として認識してもらいにくい点に留意すべきです」（礒田氏）

　検討テーマの2つ目は、「各拠点のセキュリティ・ガバナンス」だ。

　現状を俯瞰して捉えれば、保護すべき対象はサプライチェーン全体にまで拡大する一方で、脅威は巧妙化・凶悪化する一方だ。「サイバー攻撃は構造的に攻撃側が圧倒的に有利で、現実的にすべての保護は極めて困難です」と礒田氏は説明する。 【次ページ】説明責任を果たすための「仕組み作り」が重要に