最高経営責任者(CEO)などの組織のリーダーには取り組むべき課題が山積しています。最高情報セキュリティ責任者(CISO)に関して言えば、窮地に陥った人々の救援に駆けつける騎兵隊のリーダーという従来の位置付けが後退し、むしろ、「ビジネス上の重要責務に積極的に関与する共同管理者」と見なされつつあります。
本レポートでは、CISOとそのチームが2024年に優先的に取り組むべき8つの主要課題について、世界中のKPMGのサイバーセキュリティ専門家が分野横断的な観点から分析しています。
CISOとそのチームが2024年に優先的に取り組むべき8つの主要課題
1.顧客の期待に応え、信頼を高める
消費者、従業員、サプライヤーなど、あらゆるステークホルダーが、成長と利益の追求を組織に期待しています。同時に社会的に責任ある経営を求める声もますます高まっています。そうした背景を受け、組織は、セキュリティやプライバシー、環境・社会・ガバナンス(ESG)要因との結び付きを強化すべきです。
CISOや組織がステークホルダーの期待に応えるために取り組むべきこと
- サイバーの脅威とデータプライバシーの懸念が高まるなか、CISOはESG担当部門と緊密に連携することで、インシデントが発生した場合に、業務のレジリエンスの維持、および事業継続計画の発動ができるよう、準備しておく
- 生成AIによるディープフェイクなど、データ保護の問題は、サイバーセキュリティにも波及しており、CISOは、社会的責任を果たすために、顧客のサイバーセキュリティ意識が向上するように支援する必要がある
- 100%完璧なセキュリティというものは存在しないという立脚点にたち、CISOは、サイバーインシデントが発生した際、その事象を開示する必要があるかどうかを迅速に判断し、開示に備えて情報をどこまで伝えるか、検討しておく必要がある
2.サイバーセキュリティとプライバシーを恒久的に組み込む
サイバーセキュリティをビジネスプロセスの中核に組み込む「エンベデッドセキュリティ」を目指す動きが進行しています。この現実は、CISOの役職にサイバーセキュリティを集中化する従来の形から、連合型のモデルへの移行、つまり、CISOがオーケストラの指揮者のような役割を果たしつつ、枠組みを確立し、リスクを評価し、実行支援を提供するというモデルへの移行に反映されています。
CISOの新たなスキルと求められる役割
- CISOは、人員とテクノロジーの最適な組合せを見つけ、AIや機械学習などを利用し、所定のセキュリティタスクをビジネスに組み込むかを判断し、それらのタスクが適切に実行されるよう監視する
- CISOは、経営層と連携しながら、全社員が理解できるストーリーを伝え、アイデアを明快に提示することによって、ビジネス全体の行動を促すことが求められる
- 交渉力、時間管理、聞く力、人脈作りといったソフトスキルの向上に加え、残存リスクをより効果的に管理し、サイバーセキュリティ投資の優先順位や財務的なリスクについても、より的確に経営層に伝達する
3.グローバルな境界線を越えて活動する
グローバル企業は、サイバーセキュリティとプライバシーに関する規制環境が複雑化するなかで事業を展開しています。たとえば、情報の主権、サプライチェーンのセキュリティ、インシデントの報告、プライバシーに関する要件です。組織は、変化する地政学リスクと多様化する制裁要件に迅速に対応できるように体制を整えることが不可欠です。
グローバル市場におけるCISOの重要課題
- CISOは、セキュリティ、プライバシー、AIの領域における規制当局の要請に適切に応え続けるように取り計らいつつ、事業開拓のコストとそこから得られるビジネス価値の間で適切なバランスを維持しなければならない
- CISOは、地政学リスクなど、ビジネスの政治問題化とそれがセキュリティに及ぼす影響を考慮する必要がある。サプライチェーンの確保のためにも、レジリエンスと事業継続性の維持についての検討が求められる
- 特定地域におけるビジネスを一時的に撤退させる必要が生じた場合に備えて、一定レベルのビジネス機能やセキュリティに冗長性を持たせておく必要がある
4.サプライチェーンのセキュリティを最新化する
サードパーティやサプライチェーンのセキュリティに対する多くの組織における現行のアプローチは、現在の相互依存性が高く複雑なパートナー組織のエコシステムの実態に見合っていません。今、推奨される方法は、絶えず変化するサプライヤーのリスクプロファイルを継続的に監視、管理することに焦点を合わせた、より戦略的なサプライヤー関係を確立すること、つまり、オペレーショナルレジリエンスを強化することです。
セキュリティ最新化のためのポイント
- AIの導入によりプロセスが改善された半面、透明性や信頼性などの新たな潜在リスクも生まれている。サードパーティのエコシステムでも懸念されるこのようなリスクに対し、CISOはむしろビジネスの推進要因と捉え、リスクベースの考え方を、優れた自動化に牽引されたデータ主導のアプローチに切り替えるべきである
- 米国証券取引委員会(SEC)やEUの改正ネットワークおよび情報セキュリティ指令(NIS2)も踏まえ、サプライチェーンのセキュリティをより的確に掌握・管理する
- 企業とサプライヤー間の情報共有は、ベストプラクティスを強化し、最終的にはサプライチェーン上の関係性を向上させる可能性がある。組織はサイロ思考を打破するべく、ステークホルダー(調達、法務、事業部門、リスク、サードパーティ)がお互いにコミュニケーションとコラボレーションを図るように促す必要がある
5.AIの潜在的可能性を解き放つ
生成AIだけでなく、ロボティクスから機械学習までAIの他の多くの分野もビジネスを変革し続けています。このようなテクノロジーに固有のセキュリティ、プライバシー、倫理に対する影響を正確に評価することは難しいため、組織はAIの導入時に、リスク管理とガバナンスの両方を提供する枠組みを確立しようとしています。市場での競争力を維持するためにCISOは、最高デジタル(データ)責任者であるCDOと連携し、AIを軸にしたビジネス目標を支援するとともに、ゲームチェンジャーとなるこのテクノロジーを効果的に、かつ、責任を持って活用する方法を見つけ出す必要があります。
AI導入とプライバシー/セキュリティ両立のために組織に求められること
- 自信を持ってAIによるイノベーションを進めるため、透明性、説明責任、公正性、プライバシー、セキュリティを中心とした安全対策について、CISOが中心となり、自己啓発を行なう
- プライバシー/セキュリティ・バイ・デザインという考え方をAIやその他の先進テクノロジーと結び付けるために、その管理を担当する技術者がテクノロジーだけでなく、プライバシー/セキュリティファーストの発想を推進する必要がある
6.自動化でセキュリティを大幅に強化する
システムのクラウド移行により、保護を必要とするデータ量は急激に増加しています。また、リモートワークの結果、サイバー攻撃のアタックサーフェスが拡大し、多くのアラート、誤検出、トリアージが必要な場面が発生しています。CISOは対応が必要な兆候を収集し、関連性を調べ、経営層に報告する必要があり、かつ、それを迅速にやり遂げなければなりません。それを可能にする唯一の方法は自動化を使用することです。
自動化の価値
- 単純なセキュリティ機能(たとえば、ログ管理、脅威スキャン、アクセス制御など)を自動化することにより、セキュリティチームは、より短い時間で、機動的かつ効率的に対応することが可能となる
- 定期的に実行される手続きや更新を自動化することは、防御のレジリエンスと信頼性を維持するうえで重要な役割を果たし、組織化された悪質な不正行為者が大規模化して攻撃を加速させる動きに対抗する助けとなり得る
- 自動化によってセキュリティプロセスが補強されるため、CISOは人の介入する効果が最も大きい場所に優先的に人員を配置することが可能となる。たとえば、CISOとガバナンスチームは、組織全体のリスクを包括的に見渡すことが可能となり、どこに専門スキルを備えた人員をより多く投入する必要があるかを明確に理解できるようになる
7.ID管理の主体を組織から個人へと移行する
IDモデルは変化し始めており、連合型のプライベート/パブリック/ハイブリッドクラウドのコンピューティング環境に適したレベルのレジリエンスを組み込む方向に変化しています。これにより、個人(顧客・従業員)が新しい機関や団体とやり取りをするたび、毎回のように、手間のかかる身分証明の手続きを求められることはなくなると見られています。
ID管理の留意点
- 保証レベルの高いデジタルIDが理想のモデルへと進化することで、企業は、収集・保管・処理するPII(個人を特定できる情報)を減らすことができる
- ディープフェイクはIDをめぐる状況を大きく変化させており、検知に必要な資金の確保のために、CISOは、経営層レベルの意思決定者との対話を開始し、新たに出現する脅威に予算が見合うように取り計らう必要がある
- GDPRやEUデジタルアイデンティティなど、IDをめぐる世界の規制当局の姿勢にも目を配りつつ、CISOとそのチームは、ID管理に関するポリシーと戦略を策定する際、データの責任ある使用と統制を求める顧客の要請を重要な要素として留意する必要がある
8.サイバーセキュリティを組織のレジリエンスと整合する
サイバーインシデントの発生時、組織は数日や週単位ではなく、分・時間単位での対応を迫られます。現在の変化の激しい環境で、レジリエンスは、基幹インフラ業界の組織にとっての共通テーマとなっており、経営層は予防的対策に失敗した場合の事業回復に高い比重を置き始めています。サイバーレジリエンスは、事業経営能力を維持し、顧客の信頼を守り、将来の攻撃の影響を軽減するために不可欠です。サイバーセキュリティとレジリエンスが連動すれば、組織がリスクを管理する助けとなるでしょう。
セキュリティとレジリエンスの関係性
- 信頼こそが企業の財産そのものであり、組織がどれほど適切に準備を整え、どれだけ速やかに対応して回復できるかは、ステークホルダーの信頼を取り戻せるかどうかを決定付ける鍵となる
- サイバーレジリエンスの状態を継続的に評価し、優先順位付けの演習を経験することは、最終目的にも当面のニーズにも適うようなサイバーセキュリティ計画を維持するために必要不可欠である
- 組織はレジリエンスに対して改善と適応を継続する必要がある。レジリエンスは適応力を備えた戦略であるべきで、組織のサイバーセキュリティの課題を補完し、顧客の利益を守り、ビジネスの目標と連動し、長期的な価値の実現に貢献する役割を果たすべきである
(参考)2024年のサイバー戦略
| 人材 |
|
|---|---|
| プロセス |
|
| データ/テクノロジー |
|
| 規制 |
|
※本レポートの全文は、下記のPDFよりご覧いただけます。
本レポートに関連する参考記事を紹介します。ぜひ、あわせてご覧ください。
