サイバーセキュリティ人材の不足が続く中、多くの組織が統合的なアイデンティティ戦略やマネージド検知・対応サービスによって防御を強化している。こうした外部パートナーシップは人員不足の緩和や脅威検知の迅速化に役立つが、内部チームが可視性やコントロールを失うと過度の依存リスクも生じる。長期的なレジリエンスを強化するには、セキュリティ戦略のどの部分を委託でき、どの部分を組織内に残すべきかを経営陣が再考する必要がある。
持続可能なサイバーセキュリティはツールやベンダーの専門知識だけでなく、より強固な内部体制、明確な責任所在、人材・プロセス・アーキテクチャへの意図的な投資を必要とする。以下では、Forbes Technology Councilのメンバーが、組織が内部からセキュリティを構築し、ミッションクリティカルな防御を完全に外部パートナーの手に委ねることを避けるための戦略的シフトを紹介する。
ゼロトラストフレームワークの採用
SASEベンダーとして、私たちはアイデンティティ、ネットワーク、クラウドセキュリティを統合アーキテクチャに統合するゼロトラストフレームワークの採用を企業に推奨している。これによりコントロールを統合し、脅威対応を自動化し、社内チームが包括的にセキュリティを管理できるようになり、ベンダー依存度が低減する。-Etay Maor,Cato Networks
「セキュリティファースト」文化の推進
リーダーは全社的な「セキュリティファースト」文化を推進すべきだ。この戦略的シフトにより、責任の所在が孤立したITチームや外部ベンダーから全従業員へと移行する。製品開発(セキュリティの左シフト)から財務・人事に至るまで、あらゆる役割とプロセスにセキュリティ意識と責任を組み込むことが含まれる。このアプローチにより、セキュリティは共有されたビジネス推進要因となる。-Priyadarshni Natarajan,Walmart
中核的なリスク決定の所有権を維持する
組織はセキュリティ活動をアウトソースできるが、完全なコンテキストや責任をアウトソースすることはできない。サードパーティパートナーは防御戦略を実行できるが、組織はリスクの「何を」「なぜ」「どのように」の所有権を維持する必要がある。組織は中核的な意思決定の所有権を維持しながら、実行を支援するパートナーを慎重に選択・管理する必要がある。-John Linkous,Phalanx Security
全部門にサイバー思考を組み込む
サイバーセキュリティを購入するツールとして扱うのをやめよう。代わりに、構築する筋肉として扱うべきだ。リーダーはITだけでなく、すべてのチームにサイバー思考を組み込むべきである。内部脅威シミュレーションへの投資、ビジネスチームでのアナリストのクロストレーニング、安全な意思決定の奨励を行う。これにより、外部ベンダーだけでは提供できないレジリエンスが構築される。-Rahul Wankhede,Humana
チームのスキルアップとリスクプロファイルに合わせた防御の整合
ビジネスリーダーは、チームのスキルアップ、ゼロトラストアーキテクチャの実装、すべてのビジネスプロセスへのセキュリティの組み込みにより、社内のサイバーセキュリティ能力構築を優先すべきである。このアプローチは外部ベンダーへの依存度を減らしながら、組織固有のリスクプロファイルに合わせた、レジリエントで積極的な防御を構築する。-Balasubramani Murugesan,Digit7
実データによる悪用可能性と影響の評価
自社の実データ(IdP、EDR、クラウド、CI/CD)を使用して、資産とユーザーごとの悪用可能性と影響をほぼリアルタイムでスコアリングし、それらのスコアに基づいて検知、アクセス、対応を推進する。ベンダー(IdP、EDR、MDR)は、あなたのモデルに情報を提供し従うセンサーとアクチュエーターとして交換可能になる。結果として、ベンダー間で移植可能な意思決定、高いシグナル対ノイズ比、より迅速で監査可能なリスク低減が実現する。-Michael Roytman,Empirical Security
継続的なデータ活動監視への投資
多くの組織がセキュリティ戦略における継続的なデータ活動監視の要素を欠いている。AIが新たな内部脅威となりつつある。しかし、継続的な監視ソリューションは、悪意のあるものか単純なミスかを問わず、異常を素早く検出し、内部・外部ユーザーやAIエージェントを含め、誰がデータにアクセスしているかに関わらず、組織を保護できる。-Todd Moore,Thales Group
反復的なタスクを自動化してサイバーセキュリティ業務を向上させる
ビジネスリーダーは部門責任者と協力して、効率向上のために自動化できる反復的なタスクを特定すべきだ。自動化は開発者やセキュリティアナリストの代替ではない。むしろ、単調で日常的な作業から時間を解放し、サイバーセキュリティ、財務、マーケティング、R&Dの分野での戦略的で価値の高い思考に時間を割り当てることが目的である。-Matthew Polega,Mark43
侵害された場合にデータを使用不能にする
境界防御から、侵害された場合にデータ自体を使用不能にする方向へシフトしよう。暗号化だけでは不十分だ—量子コンピューティングは今日の暗号化を容易に解読するだろう。代わりに、データを複数の場所に断片化して分散させる。システムが侵害されても、攻撃者は何も再構築できない無意味な断片しか手に入らない。これはベンダーが一歩先を行くことに依存しないアーキテクチャのレジリエンスである。-Greg Salvato,TouchPoint One
部門横断的な「サイバーフュージョン」チームの構築
アウトソースされた防御から共有責任へシフトしよう。セキュリティ、IT、事業部門がリスク決定を共同所有する内部「サイバーフュージョン」チームを構築する。外部MDRはフォースマルチプライヤーだが、すべての従業員が検知ファブリックの一部になるとレジリエンスが生まれる。-Sai Krishna Manohar Cheemakurthi,U.S. Bank
信頼と共有責任のオーケストレーションへのシフト
リーダーはセキュリティのアウトソーシングから信頼のオーケストレーションへシフトすべきだ。より多くのツールやサービスを購入する代わりに、すべてのチームがアイデンティティと検知を共有責任として扱う文化を構築する。従業員が最初の防衛層となり、テクノロジーが実現手段となるとき、セキュリティはベンダー提供のサービスから組織全体の本能へと変わる。-Nishant Sonkar,Cisco
AIを活用した内部セキュリティコンテキストとコントロールの構築
ビジネスリーダーは検知のアウトソーシングから内部コンテキストとコントロールの構築へシフトすべきだ。外部ベンダーは脅威を監視できるが、組織固有の人材、プロセス、リスクシグナルを理解しているのは組織だけである。内部のコミュニケーションと行動パターンを学習するAIへの投資は内部から防御を強化し、インフラではなくアイデンティティを新たなセキュリティ境界に変える。-Mike Britton,Abnormal AI
コンプライアンスをゼロトラストアーキテクチャのレバレッジとして活用
これはマインドセットの転換だ:コンプライアンス要件を苦痛なチェックリストや単にアウトソースするタスクとして見るのをやめよう。代わりに、内部のゼロトラストアーキテクチャを資金調達し推進するための戦略的レバレッジとして捉える。CMCのようなフレームワークの技術的コントロールはZTAの基本的な構成要素である。このように設計することで、真の組織的レジリエンスを構築し、全体的なセキュリティ態勢を強化できる。-Neil Lampton,TIAG
すべてのエンドポイントが侵害されていると想定する
「デフォルトで侵害されている」設計を採用しよう。すべてのエンドポイントとベンダートークンが侵害されていると想定し、短いTTL、アイデンティティレート制限、アプリごとのキルスイッチ、ブラストラジウスSLO(15分以内に封じ込め)を備えた最小権限を実装する。小規模なレジリエンスエンジニアリングチームを構築し、MDRを防御ではなく監査に使用する。-Margarita Simonova,ILoveMyQA
ネイティブプラットフォームのセキュリティ機能を最大限に活用する
AWS、GCP、Azureなどのクラウドプラットフォームを活用する現代の組織は、これらの環境に既に統合されている基本的なセキュリティ機能を認識すべきである。リーダーが行うべき戦略的シフトは、追加のサードパーティツールやベンダーを採用する前に、これらのネイティブセキュリティ機能を完全に活用し設定することである。-Metin Kortak,Rhymetec
チームを訓練するサイバーレジリエンスハブの創設
ビジネスリーダーは、内部の専門知識、自動化、共有インテリジェンスフレームワークを統合するサイバーレジリエンスハブを創設すべきだ。AI駆動の検知、脅威シミュレーション、対応におけるチームのトレーニングは、持続的な社内能力を構築する。これによりベンダー依存度を低減しながら、積極的な防御と継続的改善の文化を育成する。-Nicola Sfondrini,PWC
内部脅威モデリングへの投資
セキュリティを後付けとして扱うのではなく、システム設計段階で脆弱性を特定することが企業にとって極めて重要である。ベンダーの研究能力は有益だが、100%の依存は推奨されない。企業固有のアーキテクチャとより良く整合させるため、内部脅威モデリング専門知識の構築に投資することを提案する。-Vasanth Mudavatu,Dell Technologies
より強靭なシステム構築のためのチーム強化
サイバー攻撃からシステムを保護するだけでなく、より強靭にするための投資を行おう。内部チームに脅威モデリングの実施、対応プレイブックの自動化、製品設計へのゼロトラスト原則の組み込みに必要なツールを提供する。外部MDRは能力向上に役立つが、安全を維持する最良の方法は、自社のインテリジェンスを構築し、学習を継続することである。-Jyoti Shah,ADP
社内サイバーストーリーテリング評議会の設立
アウトソースされたアラートを社内ナラティブに置き換えよう。セキュリティエンジニア、データアナリスト、人事からなるサイバーストーリーテリング評議会を設立し、インシデントを数時間以内にビジネスの教訓に変換する。各ストーリーはポリシー、トレーニング、設計パターンを更新する。侵害を文化的コードに変えることで、ベンダーが複製できない適応型免疫を生み出し、セキュリティをレンタルサービスではなく生きた規律にする。-Jagadish Gokavarapu,Wissen Infotech
