KPMGコンサルティング、2023年に対応すべき「サイバーセキュリティ主要課題」を発表
CISOや企業のセキュリティチームが対応すべき8つの課題を解説
KPMGコンサルティング株式会社(KPMG Consulting Co., Ltd.)は、企業のセキュリティチームが2023年に対応すべき8つの主要課題について解説した「サイバーセキュリティ主要課題2023」(日本語版)を発表した。
KPMGは、企業はセキュリティだけでなく、プライバシーや倫理面で新たな課題に直面しステークホルダーとの信頼が重要になってくるとしている。
本レポートでは、サイバーセキュリティをビジネスの中枢に据え、デジタルトラスト(デジタル技術の活用への信頼)を構築する基盤とし、デジタルトラストが企業の競争上の優位につながることを経営層に示すため、対応すべき8つの主要課題について解説している。
(1)デジタルトラスト:責任の共有
CISOは取締役会や経営幹部に対し、サイバーセキュリティがデジタルトラストを構築するうえで不可欠な要素である理由を明確に説明し続ける必要がある。
(2)「縁の下の力持ち」のセキュリティが安全な行動を促す
強制ではなく、自発的なセキュリティコントロールが、従業員にとってプラスであり、従業員こそが最大のファイアウォールとなる。技術面だけでなく、組織全体で強固のセキュリティ文化を構築することが重要である。
(3)データ中心の未来を守る
社内外のパートナー等とつながるエコシステム、分散コンピューテイングの世界において、潜在的な機能停止や侵害の影響を軽減するため、ゼロトラストやSASE(Secure Access Service Edge)、サイバーセキュリティメッシュモデルといったさまざまなアプローチを採用する必要がある。
(4)新しいパートナーシップとモデル
サイバーセキュリティ対策のアウトソーシングをどこまで進めるべきか、また現在および将来においてどのようなスキルを社内に残すべきかについて、3~5年先を見据えて判断する必要がある。
(5) 自動化への信頼
日常的で反復的な作業を自動化することで、従業員は複雑、かつ注意が必要で繊細な思考が求められる戦略に集中でき、生産性向上につながる。また、各国でAI活用に関する法制化に向けた動きがあり、企業はこれらの対応へ準備する必要がある。
(6)スマートな世界を守る
スマートデバイスには多くのリスクが存在することから、CIAS(機密性、完全性、可用性、安全性)のフレームワークに当てはめ、製品のライフサイクル全体でセキュリティをどのように組み込むかについて考える必要がある。
(7)俊敏な敵に対抗する
攻撃者が初期侵入から実行(システムの破壊に成功するなど)までに要する時間が短くなっているほか、自動化されたツールでシステムに侵入することが増えているため、セキュリティ関連のオペレーションを最適化し、優先すべきサービスを迅速に復旧できるような仕組みを構築することで影響を軽減する必要がある。
(8)必要に応じたレジリエンス
危機に備えて明確かつ柔軟なレジリエンス戦略を事前に適切に設定できるよう、早い段階からビジネスに関与し、危機が起きた際、攻撃者の性質と動機について取締役会や経営幹部と継続的に話し合い、事業を継続するために必要な知見を社内に提供することが重要である。
なお、本レポートは、KPMGインターナショナルが2023年2月に発行した「Cybersecurity considerations 2023」を翻訳したもので、全文は以下URLからダウンロード可能となっている。
https://kpmg.com/content/dam/kpmg/jp/pdf/2023/jp-cyber-considerations-2023.pdf
https://kpmg.com/jp/ja/home/media/press-releases/2023/09/kc-cyber-considerations-2023.html
(KPMGコンサルティング ニュースリリース)