ガートナーは7月24日、セキュリティリーダーが直面している課題の解決策を提示した。
このガイダンスは、信頼とレジリエンスを構築してセキュリティを拡張する方法を明らかにしたもので、その拡張方法を「何が重要なのか」「何が危険なのか」「何が現実解なのか」という3つのシンプルな質問によって把握できるようにしている。
「何が重要なのか」については、組織全体の視点でリスクを捉えることを提言している。まず、リスクのオーナーシップと責任を明確にして、説明責任という組織文化を確立、支援する。次に、組織全体のリスク一覧表(リスクレジスタ)を作成し、全てのリスク領域の中で最優先に取り組むべきものを明確にする。そして最後に、リスクとその対策をビジネスの目的と目標に対して確実にマッピングする。
ガートナーでは、リスク全体の中に占めるサイバーリスクの重大性がますます高まっているとし、この部分への対策として、統合リスク管理(IRM)が重要となるとしている。
「何が危険なのか」については、セキュリティの脅威への対応では、信頼関係の課題の解決に重点が置かれがちだが、セキュリティリーダーは、レジリエンス(回復力)の目標からそれないようにしなければならないと指摘している。
レジリエンスに関する取り組みについては、全社規模の視点で取り組み、ビジネスパートナーやITパートナーと連携してレジリエンスの目標を設定することがスタートになる。次に、危機管理とコミュニケーション計画を策定することで、条件反射的な対応や習慣的な対応が引き起こすリスクを軽減し、高可用性のためだけではなく、リカバリと継続性も含めたテクノロジとプロセスを構築することを推奨している。そして、これらのリカバリおよび継続性の計画の有効性を実証するために、何度もテストをくり返すべきだとしている。
「何が現実解なのか」については、環境とリスクの適切なコントロールを1社のベンダーや1つのテクノロジだけではなく、複数のベンダーやテクノロジに適用することで実現し、リスクおよびコンプライアンスの環境が発展するのに合わせて変えられるものにするべきだとしている。
また、ビジネスプロセスのオーナーとITチームは他の役割を担うユーザーに専門知識を提供し、これらのユーザーがリスクの専門家からガイダンスとアドバイスを受けて、それぞれの職務においてリスクベースの考え方を採り入れられるよう、奨励していくべきだとしている。
