ガートナー、セキュリティリーダーが直面している課題の解決策を提示

NO BUDGET

2018-08-01 10:07

 ガートナーは7月24日、セキュリティリーダーが直面している課題の解決策を提示した。

ZDNet Japanおすすめ記事

 このガイダンスは、信頼とレジリエンスを構築してセキュリティを拡張する方法を明らかにしたもので、その拡張方法を「何が重要なのか」「何が危険なのか」「何が現実解なのか」という3つのシンプルな質問によって把握できるようにしている。

 「何が重要なのか」については、組織全体の視点でリスクを捉えることを提言している。まず、リスクのオーナーシップと責任を明確にして、説明責任という組織文化を確立、支援する。次に、組織全体のリスク一覧表(リスクレジスタ)を作成し、全てのリスク領域の中で最優先に取り組むべきものを明確にする。そして最後に、リスクとその対策をビジネスの目的と目標に対して確実にマッピングする。

 ガートナーでは、リスク全体の中に占めるサイバーリスクの重大性がますます高まっているとし、この部分への対策として、統合リスク管理(IRM)が重要となるとしている。

 「何が危険なのか」については、セキュリティの脅威への対応では、信頼関係の課題の解決に重点が置かれがちだが、セキュリティリーダーは、レジリエンス(回復力)の目標からそれないようにしなければならないと指摘している。

 レジリエンスに関する取り組みについては、全社規模の視点で取り組み、ビジネスパートナーやITパートナーと連携してレジリエンスの目標を設定することがスタートになる。次に、危機管理とコミュニケーション計画を策定することで、条件反射的な対応や習慣的な対応が引き起こすリスクを軽減し、高可用性のためだけではなく、リカバリと継続性も含めたテクノロジとプロセスを構築することを推奨している。そして、これらのリカバリおよび継続性の計画の有効性を実証するために、何度もテストをくり返すべきだとしている。

 「何が現実解なのか」については、環境とリスクの適切なコントロールを1社のベンダーや1つのテクノロジだけではなく、複数のベンダーやテクノロジに適用することで実現し、リスクおよびコンプライアンスの環境が発展するのに合わせて変えられるものにするべきだとしている。

 また、ビジネスプロセスのオーナーとITチームは他の役割を担うユーザーに専門知識を提供し、これらのユーザーがリスクの専門家からガイダンスとアドバイスを受けて、それぞれの職務においてリスクベースの考え方を採り入れられるよう、奨励していくべきだとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]