生成 AI は現在の、そして未来のテクノロジーであるが、サイバーセキュリティのリーダーたちはまだそれを真に実用化していない。多くの企業が、まだ成果や ROI が証明されていない「新しい手法」に取り組んでいる中で、「ベストプラクティス」を特定するのは難しい。

ベンダーは、イノベーションの促進、スピードと生産性の向上など、AI のメリットに関する口実や約束をますます増やしているが、サイバーセキュリティに関して言えば、この革命的なテクノロジーはまだ真の実行可能性を提供していない。

しかし、Gartner によると、2024年は AI を活用した本格的なセキュリティ製品がついに登場する年になり、2025年にはそれらのツールが実際のリスク管理の成果をもたらすようになるという。

この予測は、Gartner による「2024年のサイバーセキュリティトレンド」のトップに挙げられている。

Gartner のシニアディレクターアナリスト Richard Addiscott氏は、VentureBeat の取材に対し、次のように述べた。

CISO は、組織が安全、セキュア、かつ倫理的に AI を導入し、戦略目標の達成や加速を支援するためにテクノロジーを活用する方法を懸念しています。

CISO は生成 AI に懐疑的であると同時に期待もしている

そう遠くない将来、生成 AI は、脆弱性管理や脅威インテリジェンス、対応といった分野を含め、セキュリティ部門の防御能力を高めるのに役立つと、Addiscott 氏は指摘する。

生成 AIは、セキュリティチームが業務効率を高める可能性も秘めています。これは、世界的なサイバーセキュリティ人材不足の現状を考えれば、重要なビジネス推進要因です。（Addiscott 氏）

しかし、現時点では、従業員は生産性の向上よりも、むしろ迅速な疲労を経験する可能性が高いと同氏は指摘する。しかし、それでも組織は実験を奨励し、セキュリティ部門内外の期待を管理すべきである。

最終的には、多くの組織が当初は懐疑的であっても、このテクノロジーには長期的に確かな希望がある。（Addiscott 氏）

根付くセキュリティ行動／文化プログラム

サイバーセキュリティプログラムにとって、文化は非常に重要である。Gartner によると、CISO がこの考えを受け入れ、セキュリティ行動／文化プログラム（SBCP）を採用するケースが増えているという。

同社は、2027年までに大企業の CISO の50％が人間中心のセキュリティ対策を採用すると予測している。

Addiscott 氏は次のように説明する。

SBCP は、より包括的かつ統合的なアプローチであり、組織全体にわたって、より安全な行動や業務慣行を育成し、定着させることを意図しています。

この戦術は、単にエンドユーザの従業員の行動に焦点を当てるのではなく、企業のすべての役割と機能にわたって、より全体的な視野に立ったものです。

このモデルへの移行を支援するために、Garter は PIPE（プラクティス、影響力、プラットフォーム、イネイブラー）を開発した。PIPE は、組織変更管理、人間中心設計の実践、マーケティング・広報、セキュリティコーチングなど、従来はセキュリティ意識向上プログラムで使用されていなかったプラクティスを導くフレームワークである。

また、PIPE は、従業員の属性、企業の予算、経営陣のリスク文化、デジタル・リテラシー、サイバー・リテラシーをサイバーセキュリティ・プログラムに組み込むことを組織に推奨している。さらに、様々なセキュリティ・ツールから得られる従業員の利用データを取り入れることで、これらのプログラムをパーソナライズする必要がある（この際、生成 AI が役立つ）。

Addiscott 氏は、SBCP によって組織はデータを深く掘り下げ、どのような従業員の行動が特定のセキュリティインシデントを引き起こしたかを特定できると指摘する。例えば、認証情報の漏洩、安全でないリンクのクリック、電子メールの不正使用などだ。そうすれば、よりバランスの取れたアプローチを取ることができる。

エグゼクティブのサポートが基本であり、従業員が理解できるような「良いこと」とはどのようなものかというビジョンを持つことが重要だと彼は言う。リーダーは、学習には「画一的」なアプローチはないことを認識し、プログラムの有効性を定期的に評価すべきである。

SBCP は、従来のセキュリティ意識向上トレーニングプログラムよりもはるかに大規模な事業であり、すべての組織が現在行っている以上の規模に拡大する能力、成熟度、キャパシティを持っているわけではありません。（Addiscott 氏）

それでも、「オール・オア・ナッシング」のアプローチである必要はない、と Addiscott 氏は強調する。

取締役会のコミュニケーションギャップをメトリクスで埋める

世界中の規制当局がサイバーセキュリティに関するルールの強化に乗り出す中、2024年には取締役会が組織のリスクについてより熟知する必要がある、と Gartner は強調する。

取締役会が「深いレベルのサイバーセキュリティの専門知識」を持っていないことが多いことが課題です。テクノロジー中心で、運用に重点を置き、後ろ向きで、遅れているサイバーセキュリティのパフォーマンス指標は、取締役会にとってはちんぷんかんぷんであり、企業のリスクとその対処方法を真に理解する助けにはなりません。（Addiscott 氏）

そのため、サイバーセキュリティへの投資とその成果によってもたらされる保護とを一直線に結ぶ成果駆動型メトリクス（ODM）が注目されている。セキュリティ・リーダーは、プログラムのパフォーマンスを「見通し線」で示すことができ、組織のリスク選好度に基づいて成果が達成されている（または達成されていない）ことを示すことができる。

Gartner は次のように述べている。

ODM は、合意された保護レベルを強力な特性で反映し、IT 部門以外の幹部にも説明可能なシンプルな言葉で、防御可能なサイバーセキュリティ投資戦略を策定するための中心的存在です。

サードパーティのリスク管理は必須

ソフトウェアのサプライチェーンは常に攻撃を受けているため、サードパーティが遅かれ早かれサイバーセキュリティインシデントに見舞われることは避けられない。

その結果、CISO はフロントロード・デューデリジェンスよりもレジリエンス重視の投資に重点を置くようになっています。（Addiscott 氏）

Addiscott 氏は、サイバーセキュリティ上のリスクが高いサードパーティとの契約については、コンティンジェンシープランを強化するようアドバイスした。また、サードパーティ固有のインシデントプレイブックを作成し、卓上演習を実施し、明確なオフボーディング戦略（タイムリーなアクセス権剥奪やデータ破棄など）を定義することだ。

デジタル機能のための堅牢で回復力のあるサプライチェーンを確立することは、より広範な組織の回復力にとって極めて重要です。（Addiscott 氏）

サイバーセキュリティの再教育

サイバーセキュリティの人材が不足していることは間違いない。Gartner の報告によると、アメリカだけでも、サイバーセキュリティの有資格者は現在の需要の70％を満たすのに十分な数しかいない。

クラウド移行、生成 AI の採用、オペレーティングモデルの変革、脅威の拡大、ベンダーの統合は、この傾向をさらに悪化させ、多数の新しいスキルを要求している。

その結果、サイバーセキュリティのリーダーは、「X」年の経験や特定の種類のスキル（これらは習得可能であるため）を規定する従来の慣行から脱却する必要がある。その代わりに、「隣接スキル」と、ビジネス洞察力、言語コミュニケーション、共感力などの「ソフトスキル」、およびまったく新しいサイバーセキュリティの役割の一部となる新しいスキルの採用に目を向けるべきである。

Gartner は、必要なスキルを文書化し、役割がどのように進化するかを示すサイバーセキュリティ人材計画を策定するよう組織に助言している。また、「ウォーターフォール型」のトレーニングとは対照的に、「反復的かつ短期間」による実践的なスキル開発を取り入れた学習文化を育成することも必要である。

注目すべきは、「過去ではなく、未来のために採用する」ことだと Gartner は強調する。職務記述書では、「ユニコーン」、つまり「存在しないか、見つけること、雇用すること、維持することがほとんど不可能な理想的な応募者」を説明する文言を削除すべきである。

進化する IAM、勢いを増す継続的脅威暴露管理（CTEM）

加速する SaaS の導入、デジタル・サプライチェーンの拡大、リモートワークなどの要因により、攻撃対象は近年非常に拡大している。可視性は限られており、テクノロジーはサイロ化されていることが多い。

これに対処するため、多くの企業が継続的脅威露出管理（CTEM）を導入している、と Gartner は言う。CTEM は、すべての脆弱性を見つけてパッチを当てるのではなく、セキュリティチームが継続的に暴露を評価・管理することを支援する。これにより、組織固有の脅威状況に基づいて修正を行うことができる。

Gartner は、2026年までに CTEM を優先的に導入した組織では、侵害が3分の2に減少すると予測している。

同時に、ID アクセス管理（IAM）の重要性もますます高まっている。Gartner 社は、組織に対して「プロパティのアイデンティティ・ハイジーンを実施する努力を倍加させる」よう助言している。また、ID 脅威の検知と対応（IDTR）を拡大し、セキュリティ態勢評価を実施し、「ID ファブリックへの進化」によって ID インフラストラクチャを「リファクタリング」する必要がある。

【via VentureBeat】 @VentureBeat

【原文】