この記事は、Chief Information Security Officer である Mike Hanley によるブログ「Introducing the New “Cisco Security Outcomes Study”」(2020/12/1)の抄訳です。
現在最も効果的なセキュリティプラクティスが明らかに
今日のセキュリティチームは、従来とまったく異なるさまざまな課題に直面しています。具体的には、急速に進行する「どこでも働ける」モデルの実現とサポート、前代未聞のストレスを受ける従業員の保護、システムの脆弱性を付け狙い絶えず変化する脅威との闘いなどです。私はシスコの最高情報セキュリティ責任者(CISO)として、ビジネスを安全に継続し、リスクを効果的に管理できるプログラムの構築に尽力しています。シスコは常にお客様を第一に考えて行動しています。この姿勢はシスコという企業の随所に浸透していますが、それが顕著なのはセキュリティの領域です。
今こそコロナ禍をチャンスとして効果的なセキュリティを実現する戦略を生み出し、変革、刷新、適応、課題克服に取り組んでいく必要があります。しかし、どのように取り組むのがベストかについては必ずしもはっきりしているわけではありません。また、プラクティスの改善、スタッフの増員、新たなテクノロジーへの投資を進めるべきかどうかについても判断に迷うことが少なくありません。単純にリソースの制約で、すべてを実施できない場合もあります。
セキュリティを成功に導くための主なステップ
サイバーセキュリティ レポート シリーズ最新となる本レポートは、重要な変革を進めるにあたって、セキュリティに関わる主要な意思決定を客観的な情報に基づいて行えるようにすることを目的として作成されています。新しい 2021 年度シスコ セキュリティ成果調査は、シスコが従来作成していた CISO ベンチマークレポートの進化版です。プログラムの成功に最も大きな影響を与えるセキュリティプラクティスについて革新的な考察を行っています。たとえばテクノロジーをプロアクティブに更新するとともにツールの統合を進めているセキュリティチームは、リスクポスチャを大幅に改善できることが今回の調査で明らかになっています。最新のテクノロジーを導入して運用を簡素化することは、古くてばらばらな製品の寄せ集めを使い続けるよりも効果的です。これは当然のことでしょう。
合計 25 種類のセキュリティプラクティスのうち、組織の防御力強化につながる可能性が最も高いセキュリティプラクティスがどれかを特定しました。このレポートは、さまざまな業界、あらゆる規模の組織に所属する、25 ヵ国、4,800 人以上の IT プロフェッショナル、セキュリティ プロフェッショナル、プライバシー プロフェッショナルを対象とした調査の結果に基づいています。本調査の目標は、セキュリティのわかりにくさを軽減することです。あまり効果のないプラクティスに時間とコストを費やすのは得策とは言えません。そうならないようにするために、このレポートでは、特定のセキュリティ成果を達成するにはどのプラクティスを実践するのが最も効果的かを確認するための青写真を提供します。
それだけではありません。セキュリティ部門によっては、プログラムの全体的な改善点を確認し、どこから着手すればよいかだけを知りたいという場合もあるでしょう。また、経営陣からの信頼の獲得といった、より具体的な目標を念頭に置いている場合もあるでしょう。あるいは、すべての従業員のセキュリティ文化全体を強化し、より自然な形でセキュリティをビジネス遂行の延長線上に位置付けたいという場合もあるかもしれません。
今回のレポートでは、こうした一般的なセキュリティ目標を 10 種類ほど取り上げています。そして各目標を上記 25 種類のセキュリティプラクティスと関連付け、特定の成果の達成に寄与する可能性が最も高いアクションを分析しています。たとえば最新のテクノロジーを導入することでセキュリティ部門に対する経営陣の信頼が高まることが今回の調査で明らかになっています。また、ツールを統合することで、従業員がセキュリティ文化を進んで受け入れるようになることもわかっています。
多要素認証や強力なエンドポイント保護ソリューションといった最新のセキュリティテクノロジーは、組織の安全性を維持し、経営陣の安心感を高めてくれます。サイロ化した複雑なツールを使って仕事をしたいと考える従業員は 1 人もいません。ツールがシンプルになれば、従業員は進んでセキュリティ文化を受け入れるようになるはずです。
2021 年度シスコセキュリティ成果調査の全文を見る
今後 1 年間の新たな焦点
こうした知見は、改善を検討してはいるものの、どこから着手すべきか判断しかねているセキュリティ部門にとって希望の光となるはずです。率直に言うと、これはあらゆるセキュリティ部門に当てはまります。ビジネスは商慣行の変化に迫られることもあれば、インシデントや大規模なグローバルイベントの影響を受けることもあります。つまり資金力が豊かな大規模組織であっても、計画や投資の内容は定期的に見直す必要があるからです。
また、この調査では、私個人が達成に向けて日々尽力している重要なセキュリティ目標の詳細も分析されています。具体的には、(先ほど述べた)組織全体のセキュリティ文化の強化や、深刻なセキュリティインシデントの防止などです。また、今回の調査では、分析の一環として、シスコのセキュリティのもう 1 つの重要な要素であるゼロトラスト セキュリティ モデルを採用しているかどうかについても質問しています。調査結果によると、回答者の 39% がゼロトラストを全面的に受け入れていて、さらにもう 39% は現在ゼロトラストモデルへの移行を進めているとのことです。
先にも述べたように、シスコは常にお客様を第一に考えて行動しています。本レポートで取り上げられているセキュリティ成果の一部がビジネスの促進に大きく貢献するのはそのためです。セキュリティは単にビジネスを守るだけでなく、組織の全体的な成長と成功にとっても重要な役割を果たします。このタイプの成果に特に大きく寄与するセキュリティプラクティスを評価することは、お客様重視のあらゆる組織にとって有益なことと言えるでしょう。強力なセキュリティマインドセットは、お客様の保護とサービス提供の改善に役立つからです。
2021 年全体を通して役立つ資料
本レポートが 2021 年全体を通して追加投資を決定する際や新しいセキュリティ対策を実施する際の参考になれば幸いです。実際、このレポートは私自身にとってもチームにとっても有益なツールになってくれるでしょう。シスコでは、このメインレポートを提供するだけでなく、引き続きデータを分析して、ブログシリーズや、特定の地域や業種を対象とした関連レポートを提供していく予定です。
シスコは 2020 年の経験から学んだ教訓を活かしてこれからも新たな道を開拓していきます。セキュリティ プロフェッショナルの仲間として、皆様のご健闘をお祈りします。そして何かお困りのときは、いつものようにシスコまでお気軽にご相談ください。
- 2021 年度シスコ セキュリティ成果調査と補足資料の全文を見る
- シスコセキュリティの詳細を見る