CISO は常にインシデントに対して責任を負ってきました。この点は変わっておらず、また変わるべきでもありません。変わったのは、より大きな権限が与えられないまま、CISO の責任が拡大していることです。
CISO の役割は、ビジネスの中核により近い場所に移行しています。CISO は、これまで以上にインシデントレスポンスに深く関与するようになり、経営陣レベルの精査にさらされる機会が増え、規制対応の結果に対する責任も増しています。
これは一見、進歩のように見えます。セキュリティは、もはや単なる技術的な問題ではなく、ビジネスの課題として扱われています。しかし、ミーティングに参加する権利を得ることは「権限の取得」を意味しません。
ほとんどの組織では CISO が保護対象のシステムや、リスクを左右する決定に対して十分な権限を持っていません。説明責任は CISO が負い、権限は組織全体にまたがっています。
このミスマッチにより、CISO の役割を維持することが難しくなり始めています。
説明責任だけではセキュリティは向上しない
説明責任だけでセキュリティが向上するのであれば、話は別です。しかし、実際はそうではありません。サイバー攻撃の頻度は高まり、影響は拡大し続けています。
組織はこの事態に対処しています。当社の調査では、回答者の94%が、高まる CISO の説明責任に対して変更を行ったと回答しています。問題は、組織が対処しているかどうかではなく、どのように対処しているかです。変更の多くは、ドキュメントの増加、精査の強化、法的保護の拡充など、リスク管理に重点が置かれています。多くの場合、説明責任はインシデントが発生する可能性自体を低減するよりも、事後に組織を守るための防御的な行動を促しています。
むしろ、説明責任は足並みを揃えるためのドライバーとなるべきです。説明責任は本来、実際に存在するリスクについて、経営陣との率直な話し合いを促すものであるはずです。これにより、責任の所在がより明確になり、脅威の状況に見合った予算とリソースを確保できるようになるはずです。しかし多くの場合、そうではないため、すでに特定されているリスクに対して対処するのが困難になっています。
ギャップが広がり続ける理由
説明責任が一元化され、権限が分散されているこのモデルは、組織が一体となって動く場合にのみ機能します。しかし実際には、これは非常に稀なケースです。
また、組織の動きが速くなるにつれて、組織内の不整合を調整するのが難しくなります。セキュリティチームがリスクを特定できても、それに適切に対処できるかどうかは他のチームが下す判断に左右されます。つまり、ギャップが広がっているのは、セキュリティリーダーが職務を果たしていないからではなく、それを支える体制が整っていないためです。
欠けているのは、インシデントが発生した際の対応力ではなく、可視性と統制です。基本的なレベルでは、いまだに多くの組織が自社の環境で何が起きているのか、すなわち、どのツールが使用され、データがどこに流れているのか、何がどの程度広くデプロイされているのかを把握するのに苦労しています。
リスクが目に見えていても、それへの対処は、連携、責任の所在、チーム全体にわたって変更を徹底する能力にかかっており、この点において多くの組織で十分な体制が整っていません。
セキュリティ侵害が発生した場合、CISO は何が起きたかだけでなく、対処するのに必要な可視性と権限が与えられていたかどうかにおいても評価されるべきです。実際にこれは、対応の実行が他のチームの決定に依存していたとしても、リスクが認識され、組織が対応できる状況にあったかどうかを示すことになります。
これは新しいことではありませんが、環境が拡大し、変化が速くなるにつれて、さらに複雑化します。
セキュリティが追いついた矢先に、AI がゲームをリセット
ここ最近、セキュリティチームが状況をうまく管理できているように感じられました。セキュリティツールは成熟し、基盤は改善され、攻撃者と防御側の間のギャップが縮まりつつあるという感覚がありました。
しかしそう思ったのも束の間、地面が再び揺れたのです。AI によって、ほぼ一夜にして環境が変わりました。新しいツールが急速に導入されるようになり、攻撃対象領域が拡大しています。AI の普及にポリシーの導入が追いついていないのです。リスクが発生するまで、セキュリティチームがそのリスクを十分に理解していない場合もあります。たとえ可視性が向上しても、統制が保証されるわけではありません。
多くのセキュリティチームが、見慣れた状況に戻っています。つまり、脅威に追いつこうと必死なのです。一方、期待はリセットされていません。どちらかといえば、むしろ高まっています。
これは AI ファーストの組織でさらに顕著であり、インシデントレスポンスの責任の所在が不明確であることが多い一方で、変化のスピードが加速しています。AI ファーストの組織の半数以上が、責任の所在をめぐる混乱を報告しています。これは従来型組織の2倍以上の割合です。
変更すべき点
答えは説明責任を減らすことではありません。CISO は責任を負うべきであり、それ自体は問題ではありません。
しかし、権限を伴わない説明責任は、セキュリティを向上させるどころか、摩擦を生みます。組織のシステム全体によって左右される結果について、1 つの役割に責任を負わせているためです。
セキュリティは後からつけ加えるものではなく、決定プロセスに組み込む必要があります。(特に AI によって) ビジネスが迅速に前進している場合、セキュリティもそれに合わせて進化する必要があります。
そのためには、経営層レベルで足並みを揃え、実際のリスクレベルに見合った責任の所在とリソースを明確にすることが求められます。権限と説明責任と一致するまでは、ギャップは拡大し続けるばかりです。
Fastly のソリューションが役立つ理由
セキュリティチームは、どのツールが使用されているか、またそれらが自社の環境にリスクをもたらしているかどうかを把握できる必要があります。
Fastly の Web アプリケーションおよび API 保護ソリューションは、自社アプリケーションにアクセスするトラフィックを理解し、悪意のあるアクティビティをより迅速に特定するのに役立ちます。このツールによって誤検知を減らすことができるため、無害なアクティビティの追跡に費やす時間を削減し、本物の脅威への対応により多くの時間を割くことができます。
また、AI ツールが組織全体に広がるにつれ、運用上の複雑さも増します。Fastly は、WAF、ボット管理、DDoS 対策などの機能を1つのプラットフォームに統合し、運用上のオーバーヘッドを削減するとともに、インシデントレスポンスの調整を容易にします。
セキュリティチームが AI の導入や拡大する攻撃対象領域、高まる説明責任のプレッシャーへの対応に取り組んでいる場合は、ぜひご連絡ください。Fastly のセキュリティプロダクトがノイズの低減や可視性の向上、レスポンス時間の短縮に役立つ理由をご説明します。

