連載
» 2018年11月16日 05時00分 公開

Gartner Insights Pickup(85):サイバーセキュリティ人材不足には、“リーン”アプローチで対抗せよ

ITセキュリティ人材の需要は拡大し、人材不足が深刻化している。これに対処するために考えたいのは、“リーン”アプローチによるスタッフ管理だ。

[Rob van der Meulen, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップ。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 一般的な通念では、サイバーセキュリティ脅威の増大に伴い、ITセキュリティチームの拡大が必要になる。だが、Gartnerアナリストでディスティングイッシュト バイス プレジデントを務めるトム・ショルツ氏は、「考え方を変えるときが来ている」と語る。

 「デジタルビジネスは、リスクの状況を不可逆的に変えた。リソースの制約がないというあり得ない場合を想定しても、次から次へと現れる脅威に対して、本社や本部のサイバーセキュリティ部門を拡張するのは、必ずしも企業や組織を保護する最良の方法ではない」(ショルツ氏)

 異なるアプローチを検討するときは、デジタルビジネスのセキュリティの原則を考慮する必要がある。

  • セキュリティチームを全てのインフラとデータの守り手から、組織全体におけるリスクベースの意思決定の支援者へと進化させる
  • 中央のセキュリティ部門が締め付けによって組織にセキュリティプラクティスを強制するのではなく、セキュリティプラクティスを組織の業務の枠組みに完全に組み込む
  • セキュリティチームは、企業リソースの保護責任をビジネスプロセスやアプリケーション、データのオーナーと共有する。この責任を負うのは、もはやセキュリティチームだけではない

 「こうした原則は、増加の一途をたどる脅威に対処するためにセキュリティチームを拡大するという考え方に反している。だが、実のところ、多くの定型的なセキュリティ業務は他のIT部門やビジネス部門も、よりうまくとはいかないまでも同じようにこなせる」(ショルツ氏)

他部門に任せられるセキュリティ業務を特定する

 ビジネス部門やIT部門に任せられる業務や機能(ユーザーの啓発など)を特定する目的で、セキュリティチームの現在の有効性を評価する。どの業務がうまくいっているか、従って現状を変えるべきではないか、また、どの業務のパフォーマンスが適切なレベルに達していないか、あるいはことによると劣悪かを判断する。

 次に、組織のセキュリティ課題の根本原因を見極める。「スタッフに負荷がかかりすぎている」「ビジネス部門間に政治的または文化的な壁がある」「スケーリング(大規模化)に問題がある」といったものなどがあり得る。こうした原因で問題がある業務が、他部門に任せる業務の候補になるかもしれない。

 セキュリティ専任のチームがない組織では、IT部門と他部門のスタッフが全てのセキュリティ業務を行っていることになる。この場合、調整不足による大きな問題が起こっている可能性がある。こうした状況は、リーンガバナンス体制の構築が有効である可能性を示している。

パフォーマンスが低いセキュリティ業務をどこに任せるかを決める

 評価に基づいて、人手が足りない、または適切なパフォーマンスが達成されていないセキュリティ業務を任せるビジネス部門かIT部門の部署を決定する。この部署は、セキュリティチームから移される業務をサポートするキャパシティー、リソース、政治的影響力、ビジネス上の動機を持っていなければならない。もう1つの選択肢は、これらの業務をマネージドサービスプロバイダーにアウトソースすることだ。

 従来の、エンドポイントとネットワークのセキュリティプラクティスの多くは、ITインフラ&オペレーションチームの専門家に任せられる。アプリケーションセキュリティ業務は、アプリケーション開発チームやDevOpsチームに移すことが可能だ。

 「このアプローチは、“リーン”セキュリティ組織の構築に発展する可能性がある。これは、専任のセキュリティリーダーが非専任者を含む担当者の主要なガバナンスや業務遂行を中央でコーディネートし、管理する組織だ」と、ショルツ氏は指摘する。

リーンアプローチの長所と短所

 デジタルセキュリティへのリーンアプローチは、サイバーセキュリティ分野の人材不足を緩和する。また、組織全体にセキュリティ問題への理解を広めるのに役立つ。これは実に適切だ。従業員は皆、自分の仕事のセキュリティへの影響を理解し、管理できなければならないからだ。

 リーンアプローチでは、意思決定が影響を受けるビジネス部門に近いところで行われることも、的確な情報に基づく意思決定の促進につながる。ベースにあるプロセスやビジネスに対する影響へのより良い理解が、意思決定の土台になるからだ。

 しかし、リーンアプローチではセキュリティの業務や責任が部門横断的に分散されるが、そのために、特に地理的に分散した組織では調整に支障が生じ、足並みが乱れるかもしれない。これは大きな短所になりかねない。だが、ショルツ氏は「明確な方向性を打ち出し強いガバナンスを確保し、効果的なプログラム管理を行えば、こうしたリスクを抑えリーンセキュリティ組織のメリットを実現できるだろう」と述べている。

出典:Beat the Cybersecurity Skills Shortage(Smarter with Gartner)

筆者 Rob van der Meulen

Manager, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。