セキュリティ対策の改善が経営陣の議題に上がっている。多くの組織ではApache Log4jのCVE-2021-44228が未修正であり、2023年に少なくとも77回の悪用が確認されている。あるCISOは、CEOから3ヶ月以内に全ての未解決問題を解決するよう命じられ、達成できなければ数百万ドル規模のクライアントとのビジネスに影響が出るという。セキュリティリーダーは、経営陣にリスク管理の観点からどのように対応しているかを説明するよう求められている。これには、予算の使用方法や「良い」または「素晴らしい」セキュリティが何を意味するのかについての難しい質問が含まれることがある。
セキュリティの改善には、IT資産の正確なリストの作成と維持が重要であるが、企業のIT展開の規模、資産の多様性、現代のアプリケーション内の変化の速度と複雑さを考えると、これは非常に困難である。Gartnerによると、業界平均で資産リストの正確性は60%である。しかし、適切な内部支援と協力により、85%から90%の可視性を迅速に達成することが可能である。経営陣には、セキュリティを他の業界と比較してベンチマークし、IT全体でリスクの一元的なビューを提供することで、どの問題を優先的に対処すべきかを理解してもらう必要がある。これにより、リスクに対する長期的なビジョンを持って取り組むことができる。
【ニュース解説】
セキュリティ対策の改善が経営陣の議題に上がることは、これまであまり一般的ではありませんでした。しかし、最近の動向として、セキュリティの脆弱性、特にApache Log4jのCVE-2021-44228のような具体的な問題が未修正であることが、組織にとって大きなリスクとなっていることが明らかになりました。2023年には、この脆弱性が少なくとも77回悪用されたことが確認されています。このような背景から、セキュリティ対策の改善が経営層の注目を集めるようになり、あるCISO(最高情報セキュリティ責任者)は、CEO(最高経営責任者)から3ヶ月以内に全ての未解決問題を解決するよう命じられました。この命令を達成できなければ、数百万ドル規模のクライアントとのビジネスに影響が出るという重大な状況です。
セキュリティリーダーたちは、経営陣に対して、リスク管理の観点からどのように対応しているかを説明するよう求められています。これには、予算の使用方法や「良い」または「素晴らしい」セキュリティが何を意味するのかについての難しい質問が含まれることがあります。セキュリティの改善には、IT資産の正確なリストの作成と維持が重要ですが、企業のIT展開の規模、資産の多様性、現代のアプリケーション内の変化の速度と複雑さを考えると、これは非常に困難な作業です。Gartnerによると、業界平均で資産リストの正確性は60%に過ぎません。しかし、適切な内部支援と協力により、85%から90%の可視性を迅速に達成することが可能です。
経営陣に対しては、セキュリティを他の業界と比較してベンチマークし、IT全体でリスクの一元的なビューを提供することで、どの問題を優先的に対処すべきかを理解してもらう必要があります。これにより、リスクに対する長期的なビジョンを持って取り組むことができます。セキュリティ対策の改善が経営陣の議題に上がることは、組織にとって重要なステップであり、セキュリティリスクの管理とビジネスの持続可能性を確保するための基盤を築くことにつながります。
from Getting Security Remediation on the Boardroom Agenda.
