最高情報セキュリティ責任者(CISO)は、かつてない課題に直面しています。サイバー攻撃の高度化、慢性的な人材不足、複雑化する規制要件などが重なり、多くの組織がサイバーセキュリティへのアプローチを再考せざるを得ない状況になっています。その結果とし、主要なセキュリティ機能をマネージドサービスプロバイダーにアウトソーシングする傾向が高まっています。
イギリスのソフトウェア会社Foundryの「セキュリティ優先事項調査2024年版」によると、調査対象となった企業の82%が、今後1年間にセキュリティ機能をマネージドセキュリティサービスプロバイダーやサードパーティーにアウトソーシングすることを計画しています。この傾向には以下に挙げられるいくつかの要因があります。
アウトソーシングされる主要なセキュリティ機能
Foundryによる調査によると、CISOが外部プロバイダーにアウトソーシングしている主なセキュリティ機能は以下の通りです。
これらのデータから、企業や組織が多岐にわたるセキュリティ機能を外部に委託しようとしていることが読み取れます。
変化するCISOの役割
アウトソーシングの普及に伴い、CISOの役割も変わりつつあります。CISOは、すべてのセキュリティ業務を直接管理するのではなく、戦略的な意思決定者やリレーションシップマネージャーとしての役割を果たすケースが増えています。CISOはサービスプロバイダーを慎重に選択して監督し、アウトソーシングした機能が組織全体のセキュリティ戦略とリスクの許容度と一致していることを確認しなければなりません。
課題と懸念点
アウトソーシングには多くのメリットがある一方で、課題も存在します。CISOは以下の点を慎重に検討しなければなりません。
今後の見通し
サイバーセキュリティを取り巻く環境が進化し続ける中、アウトソーシングの傾向はますます強まることが予想されます。IDCは、2023年から2028年にかけて、マネージドセキュリティサービスの年間平均成長率が12.2%に達すると予測しています。この変化はCISOにとってチャンスであると同時に課題でもあります。CISOは、外部の専門知識を活用する利点と、自社のセキュリティ体制に対する管理と統制を維持する必要性とのバランスを取ることが求められています。
結論として、サイバーセキュリティのアウトソーシングサービスの進行は、組織のサイバーセキュリティへのアプローチを大きく変えつつあります。CISOは、外部の専門知識やリソースを活用することで、自社のセキュリティ対策の能力を強化しつつ、内部リソースを戦略的な取り組みに集中させることが可能になります。
KnowBe4では、人が要因となっているサイバーリスクを、セキュリティリーダーが解決するために役立つ「CISO向けのリソースキット」(英文)を提供しています。この無料のツールキットは、従業員の行動を強化し、効果的なセキュリティ意識向上トレーニングの導入を支援する指針を提供します。
KnowBe4は、長年にわたり世界中の主要なセキュリティサービスプロバイダーと提携してきました。Knowbe4は、セキュリティ意識向上トレーニングを提供し、従業員の意識を高め、行動を変革し、人的リスクを軽減することを目指しているサービスプロバイダーに、簡単かつ円滑に取り入れることができるトレーニングエクスペリエンスを提供しています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、CSO Onlineの記事を参照してください。
原典:Stu Sjouwerman著 2024年11月1日発信 https://blog.knowbe4.com/rise-outsourced-cybersecurity-how-cisos-adapting-new-challenges