新型コロナウイルス感染症(COVID-19)を機に、企業は従業員同士の連携やリモートワークの浸透、デジタルカスタマーエクスペリエンスの向上などにおいて目覚ましい進歩を遂げましたが、同時に、物理的な境界線がもはや存在しないことが明確になりました。さらに、第三者への依存度が高まり、IoTなどのデバイスが普及したことで、サイバーセキュリティの脅威が飛躍的に高まっています。
本レポートは、セキュリティチームが直面する主要な課題解決の指針となることを目的に、幅広い業種・地域における主要企業のCISO(最高情報セキュリティ責任者)へのインタビュー結果を、世界各地のKPMGのサイバーセキュリティ専門家が考察したものです。
本レポートが、貴社のセキュリティチーム再構築の一助となれば幸いです。
目次
1.C-suiteの一員として行動する
CISOはC-suite(経営幹部)のように発言し、コンセンサスを築き、現実主義を示し、政治力を駆使することで、リーダーがサイバーセキュリティの戦略的な意味を理解できるようにしなければなりません。また、CISOは会社の顔として信頼と信用を築くため、公人としての役割を果たすことが求められています。
<取り組むべき課題>
- 収益向上への寄与
開発の初期段階から関与し、「セキュリティバイデザイン」の導入等でデジタルの信頼性を維持する。 - 共通のリスク観の醸成
サイバー脅威の状況と顧客、成長、収益、コスト、ブランドに対する関連リスクを明確に説明し、取締役会の共感を得る。 - 社内での影響力強化
財務、マーケティング、オペレーションなどの会議に出席し、ビジネスリスクについて学び、サイバーセキュリティの脅威を伝える。
2.視野を広げる
CISOの責任は、データの保護、破壊的な事象への対処、サードパーティの管理、規制遵守への対応、サイバー金融犯罪への対応など、多岐にわたります。そのために、CIO(最高情報責任者)をはじめ、CRO(最高リスク責任者)、CDO(最高データ責任者)など、ほかの役職者と強固な協力関係を築く必要があります。
<取り組むべき課題>
- デジタルレジリエンスの定着
セキュリティ、プライバシーに加え、事業継続、災害復旧などのレジリエンスの対象となるリスク領域について組織的に分離し、戦略的に連携させる。 - プライバシーデータの保護
情報を自由に収集し第三者と共有することでデータを最大限に活用するために、プライバシーに係る規制を遵守する。 - サイバー犯罪者による詐欺と金融犯罪への対策
サイバー犯罪者の心理や彼らが採用する戦術についての洞察力を持ち、不正行為防止チームと密接に連携しつつ、不正行為に対抗する。
3.組織のDNAにサイバーセキュリティを組み込む
CISOはほかの役職者と協力し、サイバーセキュリティを組織のDNAに組み込むべく、洗練されたコミュニケーターでなくてはなりません。セキュリティをガバナンスや管理プロセス、従業員教育、意識に組み込むほか、企業と個人のインセンティブを適切に組み合わせることが必要です。
<取り組むべき課題>
- トップダウンによる改革
経営層のサポートを得るために、取締役会レベルでの強固な関係を構築する。 - セキュリティ文化の醸成
従業員だけでなく、請負業者、サプライヤー、パートナーなど、データを扱うすべてのサードパーティに対し目に見える形で行動し、各個人がサイバーセキュリティの習慣を実践するための知識と力を提供する。 - DevOps(開発担当者と運用担当者が連携して開発する手法)からDevSecOps(セキュリティを考慮したDevOps)へのシフト
CISOがサイバーセキュリティの知見をDevOpsチームに提供することで、標準的なアプローチを使用して製品開発プロセスにセキュリティを統合する。 - 「ゲーミフィケーション」の採用
DevOpsチームの製品開発者に対しゲーミフィケーション行うことで、日常業務のなかにセキュリティを組み込む。 - OT(オペレーションテクノロジー)セキュリティの弱点
エンジニアの目的を理解して信頼を獲得し、ソフトウェア、ハードウェア、IoTに大きく依存する生産環境がさらされている脅威を共有する。 - 共通の利益のためのインセンティブ設定
KPI(重要業績評価指標)と報酬を再構築し、従業員全員が自らの力を発揮できるようにする。
4.未来のサイバーセキュリティチームの組成
CISOは外部から人材を獲得して新しいパートナーシップを築き、型破りで多様な人材を育成し、未来に向けたサイバーセキュリティチームを組成する必要があるでしょう。将来的には、サイバー面の役割がはるかに小さくなる代わりに、戦略的かつガバナンスの役割を担い、サイバーセキュリティが真にビジネスに組み込まれるようになるかもしれません。
<取り組むべき課題>
- 自動化ツールの活用
自動化を進めることで、技術革新のハイペースに対応し、人材不足を解消する。 - 深い技術力の再興
サイバーセキュリティのゼネラリストを求める傾向は弱まり、強い技術力を持つ人材への新たな需要と評価が高まっている。 - リスキングの必要性
オンプレミスから、モバイル、IoT、ビッグ データへのシフトに対応するために、サイバーセキュリティ人材を再教育する。 - サイバーの専門家以外の採用
データ分析、リスク管理、クラウドなど、需要のあるスキルセットを持つ人材を中核的な技術分野として受け入れ、これらの人材を総合的なサイバー専門家に育成する。 - 人材プールを広げるためのコラボレーション
大学等とパートナーシップを結び若い才能に投資することで、サイバーのエコシステムに貢献する。 - アウトソーシング
リモートワークの増加やギグ・エコノミーの拡大などから、サイバーセキュリティの専門家についても、場所や時間に縛られない柔軟性の高い働き方を検討する。
5.「期待の星」として自動化を受け入れる
自動化によって手作業を減らし、スキル不足を解消することで効率性を高め、増大するコンプライアンス要件に対してより一貫性と再現性をもって対応することができるようになります。自動化は、セキュリティ強化やユーザーエクスペリエンスの向上、大規模なサイバーインシデントへの対応時間の短縮にもつながります。
<取り組むべき課題>
- タレントギャップの克服
自動化ツールを活用し新入社員の受入れを効率化させ、システムやリソースへの適切なレベルのアクセスを自動的に提供させる。 - サイバーセキュリティの組織への組み込み
自動化により、CISOと開発者が目的を見失わずサイバーセキュリティを組織に組み込むことができる。 - 総合的なサイバーセキュリティの強化
自動化によって、ヒューマンエラーが削減されるとともに新たなリスクの発生源も把握でき、機密性の高い個人情報やプライベートデータの保護が可能となる。 - 継続的なモニタリング
自動化による継続的なモニタリングで、複数の国や地域での異なる規制について適切な対応が可能となる。
6.さらなる混乱に備える
私たちは「極度に相互接続された世界」に近づいています。その世界ではIoTと5Gネットワークによって、大幅な効率性の向上や新たなビジネスモデルの構築が可能となります。同時に、組織を新たな攻撃対象にさらし、プライバシーに対する懸念を高めることになり、ゼロトラストなど新たなセキュリティモデルへの移行が求められています。
<取り組むべき課題>
- AIの安全性確保
AIの活用に際し、データサイエンス、セキュリティ、倫理のスキルを融合させる。 - データ国家主義への対応
データの価値が高まるにつれ、データ活用に関する各国の厳格な規則に準じたセキュリティ活動が求められている。 - ゼロトラストの導入
許可されていないアプリケーション、サーバ、アカウントとの通信を防ぐために、データへのアクセスをコントロールする。
7.サイバーセキュリティエコシステムの強化
企業は今や、データやサービスを共有することでつながれた、サプライヤーとパートナーの複雑なエコシステム(生態系)の一部となっています。従来の契約や賠償責任モデルは、急速に進化するサプライチェーンの脅威には適さないと思われ、すべての組織と個人に安全をもたらす新しいパートナーシップのアプローチが求められています。
<取り組むべき課題>
- サプライチェーンの引き締め
サードパーティのアクセスを厳重に管理し、制限することで、コンプライアンスだけでなくサイバーセキュリティの基準を満たす。 - 業界内のコラボレーション
重大なサイバー脅威をより多く共有しながらグローバルレベルで調整し、データの共有を可能にする業界コミュニティを構築する。
CISOは、進化するサイバー脅威に対応するために、公式・非公式に多くの責任をバランスよく果たす必要があります。つまりこれは、セキュリティ意識を醸成し、同業の関係者との重要な関係を築くため、強制者からインフルエンサーへとシフトすることを意味します。絶対的な世界から、結果の確実性が低くリスクの回避と抑制が主な目的である世界へと移行していくなかで、白か黒かではなく「グレー」で対処する方法を学ぶことが重要です。
本レポートで紹介されている7つのアクションに対応するにあたり、CISOは次のステップを考慮する必要があります。
|
※本レポートの全文は下記PDFをご覧ください。
