「サイバーセキュリティ主要課題2023」(日本語版)を発表
CISOをはじめ企業のセキュリティチームが対応すべき8つの課題とは
KPMGコンサルティング株式会社(以下、KPMGコンサルティング)は、最高情報セキュリティ責任者(CISO)をはじめ、企業のセキュリティチームが2023年に対応すべき8つの主要課題について解説した「サイバーセキュリティ主要課題2023」(日本語版)を発表した。
急速なデジタル化が進行し、あらゆるものがネットワークに接続された「ハイパーコネクテッド(極度に接続された)システム」が常態化するなか、企業はセキュリティだけでなく、プライバシーや倫理面で新たな課題に直面し、ステークホルダーとの「信頼」がかつてないほど重要になっている。
KPMGインターナショナルが、日本を含む世界各国の企業の経営者など約1,900人の上級管理職を対象に、サイバーセキュリティとプライバシー保護がステークホルダーとの信頼の構築と維持に果たす役割について調査したレポート「KPMGサイバートラストインサイト2022」※においても、信頼性の向上による主なメリットとして、「収益性の向上」(37%)、「顧客維持率(カスタマーリテンション)の向上」(36%)、「取引先との関係性の強化」(34%)が上位にあがった。
本レポートでは、サイバーセキュリティをビジネスの中枢に据え、デジタルトラスト(デジタル技術の活用への信頼)を構築する基盤とするため、また、デジタルトラストが企業の競争上の優位につながることを経営層に示すため、CISOをはじめ企業のセキュリティチームが対応すべき8つの課題について解説している。
企業のセキュリティチームが対応すべき8つの主要課題
1.デジタルトラスト:責任の共有
CISOは取締役会や経営幹部に対し、サイバーセキュリティがデジタルトラストを構築するうえで不可欠な要素である理由を明確に説明し続ける必要がある。
2.「縁の下の力持ち」のセキュリティが安全な行動を促す
強制ではなく、自発的なセキュリティコントロールが、従業員にとってプラスであり、従業員こそが最大のファイアウォールとなる。技術面だけでなく、組織全体で強固のセキュリティ文化を構築することが重要である。
3.データ中心の未来を守る
社内外のパートナー等とつながるエコシステム、分散コンピューテイングの世界において、潜在的な機能停止や侵害の影響を軽減するため、ゼロトラストやSASE(Secure Access Service Edge)、サイバーセキュリティメッシュモデルといったさまざまなアプローチを採用する必要がある。
4.新しいパートナーシップとモデル
サイバーセキュリティ対策のアウトソーシングをどこまで進めるべきか、また現在および将来においてどのようなスキルを社内に残すべきかについて、3~5年先を見据えて判断する必要がある。
5.自動化への信頼
日常的で反復的な作業を自動化することで、従業員は複雑、かつ注意が必要で繊細な思考が求められる戦略に集中でき、生産性向上につながる。また、各国でAI活用に関する法制化に向けた動きがあり、企業はこれらの対応へ準備する必要がある。
6.スマートな世界を守る
スマートデバイスには多くのリスクが存在することから、CIAS(機密性、完全性、可用性、安全性)のフレームワークにあてはめ、製品のライフサイクル全体でセキュリティをどのように組み込むかについて考える必要がある。
7.俊敏な敵に対抗する
攻撃者が初期侵入から実行(システムの破壊に成功するなど)までに要する時間が短くなっているほか、自動化されたツールでシステムに侵入することが増えているため、セキュリティ関連のオペレーションを最適化し、優先すべきサービスを迅速に復旧できるような仕組みを構築することで影響を軽減する必要がある。
8.必要に応じたレジリエンス
危機に備えて明確かつ柔軟なレジリエンス戦略を事前に適切に設定できるよう、早い段階からビジネスに関与し、危機が起きた際、攻撃者の性質と動機について取締役会や経営幹部と継続的に話し合い、事業を継続するために必要な知見を社内に提供することが重要である。
本レポートの全文は、こちらからダウンロードできる。https://kpmg.com/jp/ja/home/insights/2023/09/cyber-considerations-2023.html
※「KPMGサイバートラストインサイト2022」は、こちらから確認できる。https://kpmg.com/jp/ja/home/insights/2023/04/cyber-trust-2022.html
