2022年にCISOが優先すべき5つの課題

サイバー攻撃とストレスが増加する状況下で、セキュリティリーダーに求められるアクションを確認しましょう。

blog-banner-rolling-balls-CISO.jpg

10人中9人のCISO(最高情報セキュリティ責任者)が、リモートワークへのシフトと、労働力の慢性的な不足、サイバーセキュリティの急増という状況の中、「既存のシステムが企業を安全に保ってきた」と回答しています。一方、この達成のために代償が払われていたことも事実です。64%のCISOは「1年前よりストレスにさらされている」と回答しています。 

CISOは2022年、どのような手法によって新たな課題を扱い、同時に必要なバランスを取り戻すことができるでしょうか。 

ElasticはCISO、セキュリティ担当者、その他のエキスパートを対象に、「次の1年にセキュリティリーダーが時間、労力、リソースを投じるべきこと」について調査しました。この調査から、2022年に優先すべき5つの課題を、社員、ツール、メソドロジーまで領域横断的にピックアップしました。

主要な結論
  • ハイブリッドで複雑な就労環境の出現に伴い、CISOへの要求は引き続き高まると予測される
  • CISOはゼロトラスト戦略の導入を加速させる必要がある
  • トレーニングや従業員向けプログラムの提供を通じ、ビジネスと時間管理のスキル向上を図る必要がある

1. ハイブリッドに働く従業員を安全に保つ

サイバーセキュリティ調査会社のTAG Cyberでバイスプレジデントを詰めるケイティ・テイトラー氏は、長期的なハイブリッド就業環境への移行によってセキュリティに課題が生じた企業はほとんどなかったと話します。

「2021年は、リモートワークを安全に保つことがすべてでした。ハイブリッド就業はまた別のパラダイムです。各社のCISOは、これまでに経験したことのない方法で、社員の生産性とセキュリティのバランスを取らなくてはなりません」

仮に2021年がセキュリティの根本的な部分にフォーカスした一年だったとすると、2022年はセキュリティプロフェッショナルがすべてのデバイスを確実にロックする戦術とプロセスへの熟達が進み、向上の可能性を特定する一年になると考えられます。社員の出勤と自宅勤務が絶えず変化しながら混在し、個人のデバイスと企業のデバイスを併用する状況に対して、今後セキュリティ責任者はアクセスを管理し、ガバナンスを確立する必要が生じます。また、一部の社員は感染拡大の期間、重要なソフトウェアパッチやアップデートを適用できていません。

多くの組織において、これはクラウドベースのXDR(強化された検知と対応)への投資の拡大を意味します。XDRは、SIEM(セキュリティ情報およびイベント管理)、EDR(エンドポイント検知と応答)、分析&インテリジェンス、IDとアクセス管理ツールを組み合わせた機能です。

テイトラー氏はハイブリッドに働く2022年の社員に対し、「ますます多様で、共通点のない複数のテクノロジーのタイプやアクセス要件へのサポートが必要になる」とも指摘しています。

2. ゼロトラストフレームワークを導入する

ジョー・バイデン大統領が2021年5月に発した大統領令は“ゼロトラスト”に言及し、国のサイバーセキュリティの向上を要請するものでした。ゼロトラストとは、たとえ承認されたユーザーが生成したものであっても、エンタープライズネットワークの一切のネットワークを信頼するべきではない、という認識を起点として構築されたセキュリティメソドロジーとフレームワークです。

ゼロトラストセキュリティフレームワークは、チームにネットワークのアクセスの動作の仕組みについての再考と、チームが信頼するプロダクトの厳密な精査を強制することから、CISOにとって欠かせない切り札となりつつあります。

2022年、セキュリティチームはゼロトラストメソドロジーとプロダクトへの理解を深め、実装の準備をするべきだという指摘が複数の専門家から出ています。多くのセキュリティチームは、感染拡大の時期にすでに有利なスタートを切っています。感染拡大の危機によって、企業の60%がゼロトラスト導入時期の前倒しを図ったためです。

Elasticセキュリティ部門のゼネラルマネージャーを務めるネイト・フィックは次のように説明します。「『trust, but verify』(信ぜよ、されど確認せよ)という古い格言がありますが、ゼロトラストはこの真逆です。言うなれば『trust nothing and record everything』(何も信じるな、そして全部記録しろ)というスタンスのリスクマネジメントアプローチです。 ゼロトラストを導入することで、セキュリティはシステムとデータへのよりスマートなアクセスを実現しながら、優れた保護水準を提供する“救世主”となる可能性があります」

3. セキュリティワークフローを自動化する

セキュリティシステムが複雑化するにつれ、人間のアナリストが現在進行形の脅威と、潜在的な脅威を常時監視することは不可能になりました。これはロボティックプロセスオートメーション(RPA)と、定型のタスクのワークフローを自動化するツール群への信頼性が上昇した、という意味です。

テイトラー氏は次のように指摘します。「自動化とは、セキュリティチームの時間を解放し、彼らがより高次の分析に集中できるようにするものであるべきです」

ゼロトラストフレームワークに依拠するセキュリティ組織では、自動化ツールが自力で定型の問題の対処を行うことも可能であり、人間の介入を必要とするインシデントしかエスカレーションされません。したがって過重な負担を引き受けていたセキュリティアナリストは時間を取り戻し、高次の脅威に集中して取り組むことができます。

併せてお読みください

潜在的な悪意を持ったアクティビティを自動で検知するカスタムルールの作成方法について、詳しく説明しています。

4. チームのスキル向上にコミットする

自社のセキュリティチームのスキルを再評価し、ギャップを特定するのに最適なタイミングです。これは、テクニカルスキルに限った話ではありません。ビジネスへの洞察力とソフトスキルの開発、ならびに強化は今、セキュリティリーダーの両肩に正面からのしかかっている課題です。

ニュージャージーを本拠地とし、全米に131のオフィスと1,400名の従業員を抱える保険ブローカー、World Insurance AssociatesでCIO兼CISOを務めるリズ・ツルコウスキー氏は、2022年の最優先課題として、セキュリティチームのビジネス分析スキルとコミュニケーション戦略の強化支援を挙げています。セキュリティプロフェッショナルが経営チームの中核的な構成要素となり、ビジネスプロセス全体を理解し、セキュリティ業務がどのような点で期待に沿えるのか説明することが彼らの義務となっているためです。

またCISOは組織規模のセキュリティカルチャーの構築にも注力しなければなりません。結局のところ、最も一般的なサイバー攻撃は技術的な欠陥ではなく、ヒューマンエラーや見落としを悪用するソーシャルエンジニアリングやフィッシング詐欺によって引き起こされています。

フィックは「セキュリティプロフェッショナルは、セキュリティ業務の秘伝の奥義をビジネスリスク用の言語に翻訳する能力を習得する必要があります」と指摘します。ただし、ビジネスリーダー側がセキュリティチームの言語を理解しようとする努力も同じく重要です。「すぐれた経営チームや役員であるためには、歩み寄りが必要です」

5. チームを(あるいは自分も)燃え尽きさせない

2022年を迎えるにあたってCISOが見落としてはならないもう1つの優先課題は、より良いワーフライフバランスの保全です。これはセキュリティチームのためだけでなく、CISO自身のためにも重要です。新型コロナウイルス感染症の拡大により突如、自宅勤務のサイバーリスク管理を開始することになる前の状況を振り返ってみましょう。2020年にForresterが発表した調査では、平均的な企業のセキュリティ運用チームは、1日に11万件超のセキュリティアラートを追跡していた一方、そのペースを問題なく維持できていた企業は半分以下(47%)でした。

うまくいくハイブリッドチームのモデル開発を進めるにあたり、セキュリティリーダーは、全員が業務から離れる十分な時間を確実に持てるようにしなければなりません。

2022年にも複数の重要な課題が待ち受けていることから、賢明なCISOは今後を見据え、“発生しつつある問題”のソリューションの検討を始めています。CISOは、ゼロトラストや自動化戦術などの新たなセキュリティ戦略を積極的に導入することにより、一層適切な形で、今後ハイブリッドに働く従業員のニーズをサポートすることができます。

CISOが今後取るべきアクション
  • 社員によるデータへのアクセスについて、多様な方法を計画する
  • セキュリティタスクを可能な限り自動化し、チームを過剰な負担から解放する
  • カルチャー、スキルトレーニング、適切な有給休暇を全員の優先事項とする