CISO
サイバーセキュリティーのスキル・ギャップの解消にゼロトラストがどのように役立つか
2021-05-13
カテゴリー CISO | ネットワーク&エンドポイント
記事をシェアする:
ゼロトラスト・モデルを使用すると、スキル・ギャップなど、今日のサイバーセキュリティーにおける主要な課題の取り組みの助けになります。
2020年7月、Deloitteは、Webセミナーの参加者を対象に、それぞれの組織のゼロトラスト・モデルの実装計画についてアンケート調査を行いました。 回答により、多くの雇用主の努力を妨げる4つの問題が浮き彫りになりました。 最も注目すべきはスキルを持つ人材の不足で、28.3%を占めました。僅差の28.1%で、必要な予算の不足が続きます。さらに、開始するにあたっての判断力の不足(12.8%)、市場におけるさまざまな技術やベンダーの選択が難しいこと(12.7%)が続きました。
幸い、ゼロトラスト・セキュリティー・モデルを採用したチームでは、これらの問題が障害になることはありません。前述の問題の1つ1つに対処することができます。
今回は、この4回シリーズの記事の初回ですが、サイバーセキュリティーのスキル・ギャップについて取り上げます。
サイバーセキュリティーのスキル・ギャップとは?
スキル・ギャップとは、雇用主がセキュリティー・ニーズを満たすために雇用する、専門的訓練を受けた人員の不足が続くことを言います。この現象の蔓延を如実に表しているのが、Enterprise Strategy Group and the Information Systems Security Association共同研究プロジェクトで、半数を超える(52%)回答者がサイバーセキュリティーのキャリアにとって実践的な体験が資格より重要であると考えていると答えていることです。ただし、従業員のスキルの訓練レベルをどう考えるか尋ねられると、 回答者の65%は、職務で求められるスキルを満たすために、雇用主は少なくとも従業員に対してさらなる研修を実施する必要があると答えています。
これは机上の問題に留まりません。概ね同じ数(63%)の回答者が、セキュリティー産業に従事して3年未満であると答えています。回答者の68%が、将来の明確なキャリアパスが描けていないと感じているのは当然のことと言えます。
スキル・ギャップの解決に向けたゼロトラスト・フレームワークの使用
雇用主は、スキル・ギャップの結果、厄介な事態に陥っていることを実感します。一方では、自社のネットワーク・インフラストラクチャーが人間の信頼という感情に左右されていることもわかっています。
Forrester Researchのセキュリティーとリスクの主席アナリストであるChase Cunninghamは、セキュリティー・インテリジェンスのポッドキャストで、 ネットワークには元々信頼性などないことを認知している企業が続々と増えていると述べています。これらの企業は、不必要な信頼性を排除する手段として、ゼロトラスト・セキュリティー・モデルに注目し始めています。
反面、雇用主は、自身のITシステム全体の信頼性を管理できる有能な人材を見つけるのに躍起になっています。信頼の源を除去し、その他を維持するために必要なスキルのある働き手が不足しているのでしょう。このため、ゼロトラスト・モデルが自身のニーズにしっくりこないと感じるかもしれません。
今後の方策としてのベンダー・ソリューション
幸い、今後進めるべき方策があります。雇用主は、ゼロトラストを導入するのに社内の専門知識に頼る必要はありません。代わりに、AIと機械学習を活用して顧客の安全を維持するベンダー・ソリューションに投資すればよいのです。マネージド・セキュリティー・サービス・プロバイダー(MSSP)の支援のもと、雇用主は社外のスペシャリストの専門知識を利用して、システムが信頼を管理する方法を確立することができます。
Cunninghamは、このようなオファリングの有望さを認めています。実際、彼はこれらのソリューションがシステム全体の信頼性をより適切に管理するのに役立つことを実感しています。 そして、このゼロトラスト・モデルは進化し変革し続ける雇用主のニーズに合わせて拡張することができるのです。
「 … こういった概念を用い、実際にそれを実施することができるテクノロジーを活用して、信頼性の除去を大規模に行いましょう。」 Cunninghamはセキュリティー・インテリジェンスのポッドキャストで述べています。「これは一種の進化で、今後も基本的教義が適用されますが、現在、まさにそのとおりのことを行うベンダー・ソリューションを活用しています。ご存じのとおり、この概念は一種の説教のようなものでした。」
もちろん、組織は、カスタマイズ可能でかつセキュリティー・ニーズに対応できるゼロトラスト・ソリューションを見出すことが必要です。また、ツールを確保するためのセキュリティーの予算がなければなりません。 このようなアドバイスの多くは、有望なベンダーにソリューションについての適切な質問を投げかけるということに行き着きます。詳細は、この4回シリーズの別の回でご説明します。
今回は、スキルを持つ人材に恵まれない雇用主も、スキル・ギャップによる困った事態から抜け出す術がないわけではないということを認識してください。今こそ、ゼロトラストの導入を支援するベンダー・ソリューションの状況について検討を始める時なのです。
このブログは、「How Zero Trust Can Help Close the Cybersecurity Skills Gap」 を抄訳し一部更新したものです。
【関連情報】
【著者情報】
David Bisson
David Bissonは情報セキュリティー・ニュースに精通したセキュリティー関連のジャーナリストです。Graham Cluley Security Newsの寄稿エディター、Tripwireの 「The State of Security」ブログのアソシエート・エディターとして活躍しています。
インシデント・レスポンス研修 (旧称 CSIRT研修)
IBMインシデント・レスポンス研修 (旧称:CSIRT研修)を、2023年3月6日(月曜日)~9日(木曜日)の4日間にて開催! 締切は2023年2月16日(木曜日)です。 サイバー脅威に備えてセキュリティー・インシデント […]
Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント
多くの企業が、サイバー脅威への対応としてセキュリティー監視や有事対応の態勢を整備しています。昨今は特に、1) 脅威を如何に予防するか(Cyber Hygiene)、2)脅威に如何に集団防衛で立ち向かうか(Collecti […]
Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.2 統合する機能
Vol.1では、グループ全体のセキュリティー態勢を一層向上するためにグループ横断的に専門知見を集約する組織として、Fusion Centerの概要、およびその主な目的と導入効果を説明しました。本稿Vol.2では、構想背景 […]