セキュリティのリーダーシップを分散する企業が増加 一元管理は限界か

組織におけるセキュリティのギャップを埋めるため、サイバーセキュリティのリーダーシップを分散を検討する企業が増えている。リーダーによるセキュリティの集中管理は限界が近いのだろうか。

[Lindsey Wilkinson，Cybersecurity Dive]

　サイバー攻撃の頻度と深刻度が増すにつれ、セキュリティリーダーが求めるセキュリティと事業部門の実運用の間に断絶があることが浮き彫りになった。リーダーによるセキュリティの集中管理は、限界に近づいているのだろうか。

リーダーシップの分散はセキュリティを高めるのか

　組織におけるセキュリティのギャップを埋めるため、サイバーセキュリティのリーダーシップを分散を検討する企業が増えている。リーダーシップを分散するアプローチは、従業員の日常業務にセキュリティ戦略を浸透させ、対応を迅速化して攻撃の防止力を高めるという考えだ。

　Futurum Researchのシニアアナリスト兼リサーチディレクターであるロン・ウェストフォール氏は、「サイバーセキュリティ脅威の高度化や攻撃対象の拡大などに対応する必要に迫られ、この変化は生じている」と述べた。「経営陣が推進している組織全体に分散したサイバーセキュリティポリシーを、より厳格に実施する必要があるだろう」。

　この変化は、CISO（最高情報セキュリティ責任者）の役割の終わりを意味するものではない。サイバーセキュリティのリーダーシップを分散させることによって、従業員は企業のニーズを満たしながら、リスク情報に基づいた意思決定ができるようになるという。

　Gartnerの調査では、10人に8人近くの従業員が「企業の目標を達成するためのセキュリティポリシーを回避している」ことが明らかになった。また、CISOの10人に1人が「従業員が十分な情報を得た上で独自にセキュリティに関する決定を下すことができる」と考えている。

　Gartnerのディレクターアナリストであるウィリアム・キャンドリック氏は、「分散化の目標は、特に大企業の場合、個々のビジネスから懸け離れた集中型のセキュリティを実施するのではなく、より事業部門に溶け込んだセキュリティ対策をすることだ」と述べている。

　しかし、これではCIO（最高情報責任者）が事業部門をまたいでサイバーセキュリティを実施する従業員を管理することになり、ただでさえデリケートなコミュニケーションチャンネルに負担が加わる。

　「これは、より良いサイバーセキュリティ対策に支払うべき、本質的なコストと言えるだろう」とキャンドリック氏は述べる。

　コストを軽減する方法の一つは、「センター・オブ・エクセレンス」（CoE：Center of Excellence）を導入することだ。CoEは、「拡大するサイバーセキュリティのコミュニケーションとコネクティビティを向上させるための道筋」を従業員に提供する。

　もう一つの解決策は、サイバー攻撃を判定する能力を改善することだ。

　キャンドリック氏は次のように話す。「当社の顧客は、サイバー判定力を向上させるために幅広いアプローチしている。『セキュリティポリシーのセルフサービスツール化』や『トラストスコアによるサイバー判定の評価と改善』『サイバーリスクガイダンスを既存のビジネスワークフローに組み込むこと』などが挙げられる」。

　ウェストフォール氏は、企業がクラウドプラットフォームに慣れ親しみ、より「インテリジェント」なポリシーを使うようになれば、分散型アプローチの勢いが増すと予想している。

　「従来のセキュリティアプローチから移行する場合でも、この課題に対応することでより安心感を得られる」とウェストフォール氏は言う。

出典：Analysts nudge businesses to decentralize cybersecurity leadership（Cybersecurity Dive）