サイバーセキュリティは
激変するビジネス環境でますます複雑に

 サイバーセキュリティは、いまや企業にとって最優先事項の一つとなった。ガートナーの最近の調査では、取締役の88%がサイバーセキュリティを技術リスクではなくビジネスリスクとして捉えており、セキュリティが企業のバリューチェーンの一部であることが明らかになっている。

 サイバーセキュリティは、IT部門においても依然として最大関心事の一つである。ガートナーがCIO(最高情報責任者)を対象に行った調査において、サイバーセキュリティと情報セキュリティは、2023年に投資を増やす分野のトップに挙げられており、情報セキュリティへの支出は今年、2桁の伸びを示すと予測されている。

 しかし、企業がサイバーセキュリティへの支出を増やし、いっそう注意を向けるようになっても、ビジネスのスピードが増し、デジタル化が加速すれば、ますますミスは起こりやすくなる。サイバーフィジカルシステム(CPS)やIoT、オープンソースコード、クラウドアプリケーション、複雑なデジタルサプライチェーン、ソーシャルメディアなどの利用に伴うリスクによって、防御するために必要な能力が複雑化し、企業のアタックサーフェス(攻撃対象領域)は拡大している。

 また、AIなどの新しいテクノロジーに対する企業のリスクマネジメントも不十分だ。ガートナーの調査によると、41%の企業が過去にAIによるプライバシー侵害やセキュリティにおける事故や事件を経験している。一方、サイバー攻撃者は一歩先を行くために進化を続けている。攻撃の手口がどんどん新しくなり、Log4jの脆弱性のような既知の脅威は、企業を数ヵ月、あるいは数年先まで悩ますことになる。

 IT部門のリーダーに伝えたいのは、よく考えられたわけでもないバラマキのような支出では、適切な防御はできないということである。新しいものや未知のものを含むすべての脅威から身を守ろうとするのではなく、ビジネスの成果を保護するためのサイバー対策への支出を優先することが必要だ。防御するための戦略的なアプローチもなく脅威に戦いを挑んでも、ほぼ間違いなく敗北するだろう。

 各部門のマネジャーに向けた汎用的な教訓は、セキュリティはIT部門だけでなく、全社員の問題であるということだ。セキュリティ対策は、セキュリティとはまったく関係のないビジネス上の意思決定による影響を常に受けているが、それに気づいている企業はほとんどない。

 サイバーセキュリティは選択的なものである。企業は、防御の必要性と事業のニーズを両立させる防御のレベルと投資を選択することができる。IT部門以外のマネジャーは、「セキュリティは、自分がチームと企業のために日々行う意思決定の文脈と結果である」ことを理解し、その責任を受け止めなければならない。