過信のギャップに注意：CISOとスタッフはセキュリティ体制について見解が一致しない

CISOとそのセキュリティ指揮系統は、自組織のサイバーセキュリティの成熟度やレジリエンスについて、かなり異なる見解を持っているようです。

最近のBitDefenderのレポートによると、CISOは攻撃対象領域が拡大する中でリスクを管理できるという自信を、中間管理職のセキュリティマネージャーよりもはるかに強く持っていました（45%対19%）。一方、DarktraceのAIサイバーセキュリティレポートでは、セキュリティ実務者は経営層よりもAIによる脅威への対応力に自信がないことが示されています（49%対62%）。

「この自信の違いは、リーダーと現場の実務者との間に断絶がある証拠です。最前線で戦う人々は、AIを駆使する敵との日々の戦いがどのようなものかを理解しており、現行のソリューションがどこで不足しているかを明確に認識しています」とDarktraceのレポートは結論付けています。

ペンテスト企業CobaltのCTOであるGunter Ollmann氏は、このような断絶はセキュリティ組織では一般的であり、セキュリティの優先順位を揃える際に課題を生む可能性があると述べています。

「長い間、日々多様な攻撃を目の当たりにしている『現場』の人々と、現場から離れた立場にいる人々との間には断絶がありました」とOllmann氏は言います。「最前線のセキュリティ担当者は、アラート疲れや終わりのない日々の業務による継続的なストレスに圧倒されており、『全体像』を把握するのが難しくなることがあります。」

一方で、セキュリティ経営層が日々のサイバー業務から離れていることで、現場の問題が見落とされることがあると、サイバーセキュリティトレーニングプラットフォームSecureFlagのテクニカルスペシャリスト、Nicolette Clarkin氏は述べています。

「経営層は通常、ハイレベルなレポートやダッシュボードに頼りますが、現場の実務者は、カバレッジの限界、レガシーシステム、アラート疲れなど、日々の課題を目の当たりにしています。これらの問題は取締役会の議論に上がることはほとんどありません」と彼女は言います。「この断絶は、経営層に誤った安心感を与え、安全な開発、脅威モデリング、技術スキルなどへの投資不足を招く可能性があります。」

「私たちの経験では、中間管理職は自分たちのサイバー体制の現状について常により懸念を持っています。なぜなら、彼らはセキュリティフレームワークを構成する導入ツールに最も近い立場にいるからです」と、One IdentityのグローバルIAM戦略SVPであるLarry Chinski氏は述べています。

このCISOと現場のセキュリティ専門家とのセキュリティ断絶は、認識されている準備状況と実際の準備状況の間にギャップを生み出し、次のような事態を招く可能性があります：

• 優先順位の誤り：サイバーセキュリティベンダーAcronis TRUのリードセキュリティリサーチャー、Santiago Pontiroli氏によると、投資はしばしば可視性やコンプライアンスに偏り、「検知エンジニアリング、インシデント対応、脅威封じ込め」といった中核能力が後回しにされがちです。
• 対応の遅れ：AI主導の脅威にはより迅速で賢い防御が求められますが、Pontiroli氏によれば、振る舞いベースの分析や自動化などの重要なアップグレードは、リスクの過小評価によりしばしば先送りされます。
• 非効率な導入：セキュリティツールが適切な統合やトレーニングなしに導入されることで、その効果が限定され、運用ノイズが増加します。

「経営層は、最近インシデントが発生していないという理由だけで自社のポリシーやコントロールが万全だと考えがちですが、現場の実務者はそうではないことを知っています」と、ネットワークセキュリティ管理企業FireMonの国際事業SVPであるDavid Brown氏は述べています。「彼らは、技術的負債、ポリシーの乱立、時間とともに蓄積される不整合な設定を目の当たりにしています。」

AI主導の脅威はしばしば誤解されている

経営層はハイレベルなコンプライアンス指標やベンダーからの保証に自信を持つ傾向がありますが、現場の専門家—セキュリティエンジニアやアナリスト—は、AI主導の脅威の進化と複雑さを直接目の当たりにしています。

Darktraceによる最近の業界調査はこの対比を強調しており、「上層部は自社の準備状況を過大評価しがちで、現場の人々ははるかに慎重な評価をしている」と、サイバーリスク管理ベンダーNormCyberのCTO、Paul Cragg氏は述べています。

人工知能の台頭により、攻撃者はかつて時間とコストがかかった作業を自動化できるようになり、参入障壁が下がり、攻撃成功の可能性が高まっています。

「現場の実務者がこの変化を最初に認識するのは当然です。なぜなら、経営層はそもそも彼らにリスクの可能性評価を依存しているからです」と、クラウドソーシング型サイバーセキュリティ企業Intigritiのチーフハッカーオフィサー、Inti de Ceukelaire氏は述べています。

攻撃者はすでに生成AIを活用してフィッシング、なりすまし、ランサムウェアの手法を拡大しています。同時に、3分の1以上の従業員がAIツールを秘密裏に使用しており、可視性もポリシーも保護もない状態です。

「この『シャドーAI』の傾向は、管理されていないツールやデータフローが従来のコントロールを回避するため、特に古いコントロールやサイロ化したシステムと組み合わさると、脅威の範囲を劇的に拡大します」と、IvantiのネットワークセキュリティグループSVP、Mike Riemer氏は述べています。

AI脅威はあまりにも急速に進化しているため、従来のポリシーやリスク評価では追いつけません。経営層は定期的な報告で安心するかもしれませんが、現場スタッフは絶えず変化する状況をリアルタイムで注視する必要があると、FireMonのBrown氏は警告します。

AI関連の脅威に対する見解の衝突は、リスクが潜む盲点を生み出します。経営層が自社のセキュリティ体制を実際よりも強固だと信じていると、重要な投資が先送りされたり誤った方向に向かったりします。

「組織は最小権限を基本に再設計し、強制力を自動化し、コントロールを継続的に検証する必要があります」とBrown氏は述べます。「もし既存のポリシーが手動で管理するのも大変なら、AI対応の脅威はそれらを完全に破綻させるでしょう。」

可視性とコンテキスト

この断絶の多くは、可視性やコンテキストのレベルの違いに起因します。なぜなら、セキュリティ体制は組織内での役割によって解釈が異なるからだと、ForescoutのセキュリティインテリジェンスVP、Rik Ferguson氏はCSOに語っています。

「例えば、SOCアナリストはあるデータセットを見ており、セキュリティマネージャーは別のものを、CISOはまた違うものを見ています。それぞれが自分のレベルに関連するツール、チーム、優先順位によって形作られています」とFerguson氏は説明します。「各段階でメッセージの歪みが生じます。データは要約され、再構成され、あるいは関連性や時間的制約に基づいて選択的に強調されます。」

これにより、同じデータでも異なる理解が生まれ、組織の実際のセキュリティ成熟度やリスク露出について優先順位や前提がずれることになります。

さらに、CISOの地位向上やビジネスリーダーとしての役割再定義も、この断絶を助長している可能性があると、GRC International Groupの情報セキュリティマネージャー、Adam Seamons氏は指摘します。

「多くのCISOは技術的リーダーからビジネスリーダーへとシフトしています。問題は、その過程で運用の詳細から遠ざかってしまうことです」とSeamons氏は述べます。「これにより、経営層が考えていることと現場で実際に起きていることの間に『翻訳ギャップ』が生まれます。」

リスクや体制について一貫した共通認識がなければ、戦略は断片化し、意思決定の遅れや特定分野への過剰・過少投資につながり、その結果、攻撃者に悪用される盲点が生まれます。

「このギャップを埋めるには、セキュリティデータの伝達とコンテキスト化の方法を改善することから始めるべきです」とForescoutのFerguson氏はアドバイスします。「重要なニュアンスが失われがちなフィルタリング情報を上層部に伝えるのではなく、セキュリティツールは同じ基礎データを役割に応じて提示できるようにすべきです。」

例えば、SOCアナリストには技術的な詳細が必要ですが、CISOにはビジネスインパクトに結びつくハイレベルな視点が求められます。

「ツールが意味を変えずにコンテキストを調整できれば、メッセージの歪みを防ぎ、共通理解を深める助けになります」とFerguson氏は述べます。

他の専門家は、より良いツールとコミュニケーションの改善により、セキュリティ意識のギャップは縮小しつつあると考えています。

「CISOはチームとより密接に関わり、定期的にコミュニケーションを取り、技術の進歩を活用して自社のセキュリティ体制のギャップを把握し続けるべきです」とOne IdentityのChinski氏は述べます。「攻撃対象領域の拡大により、最近ではCISOの関与がより深くなっているため、新しいツールを活用することでこれらのギャップは大幅に縮小すると考えています。」