セキュリティシアター、つまり見かけ上のセキュリティに安心感を見出す代わりに、実際に機能するセキュリティへの移行が求められている。多くの企業がマーケティングキャンペーンに重点を置いたセキュリティ対策に注力しているが、これは実際のビジネス、財務、法的リスクの軽減にはつながらない。セキュリティシアターは、Cスイートエグゼクティブやリーダーに安心感を提供するために精巧に作られているが、実質的な防御内容を欠いている。しかし、企業や従業員は、サイバーセキュリティやデータ保護の実践に関して訴訟、罰金、同意命令を受けている。

セキュリティシアターの背後には、標準設定機関、第三者認証機関、セキュリティベンダーなどがおり、観客のためにセキュリティ担当者によって指揮されている。しかし、このような取り組みは、実際のリスク軽減や法的コンプライアンスの面でしばしば不十分である。一方、真のセキュリティは、一般的な実践が常に機能するわけではないことを認識し、データ侵害がISO認証企業にも起こり得ることを理解している。真のセキュリティは、人間の弱点を認識しつつ、人間を特徴として取り入れ、防御の層を組み込み、妥協に対応する計画を立てる。

真のセキュリティを欠くリスクは高まっており、EUではデータ匿名化の標準に準拠しているだけでは法律上十分な匿名化とは見なされないとする意見が発表された。また、ヨーロッパでは新しい法律が施行され、違反ごとに企業の全世界年間収益の2%から7%の罰金が科されることになっている。米国でも、証券取引委員会、連邦取引委員会、司法省、州レベルの検事総長が企業や個人のリーダーに対して不正行為を主張して民事および刑事訴訟を起こしている。

セキュリティシアターに関連するセキュリティ、経済、法的リスクに目覚め、観客を快適にさせることに焦点を当てるのをやめ、リスク、変化、そして最終的に成長に伴う不快感を感じさせることが求められている。成長は常に努力を要するが、リスクベースでビジネスに適したセキュリティとコンプライアンスを行う方法は多く存在する。

【ニュース解説】

現代のデジタル社会において、企業はますますサイバーセキュリティの重要性に直面しています。しかし、多くの企業が実際にはセキュリティの実質的な強化よりも、見かけ上のセキュリティ、いわゆる「セキュリティシアター」に依存していることが問題となっています。セキュリティシアターは、実際のリスクを軽減することなく、安心感を提供するために精巧に作られたプログラムです。これには、標準設定機関や第三者認証機関、セキュリティベンダーなどが関与しており、表面的な安全性を演出しています。

しかし、このようなセキュリティシアターは、実際のビジネス、財務、法的リスクの軽減にはつながらず、企業や従業員はサイバーセキュリティやデータ保護の実践に関して訴訟、罰金、同意命令を受けるリスクにさらされています。真のセキュリティは、一般的な実践が常に機能するわけではないことを認識し、人間の弱点を特徴として取り入れ、防御の層を組み込み、妥協に対応する計画を立てることに重点を置いています。

真のセキュリティを欠くことのリスクは、EUや米国など、世界中で高まっています。新しい法律や規制が施行され、データ保護やサイバーセキュリティに関する厳しい要求が企業に課されています。例えば、EUではデータ匿名化の標準に準拠しているだけでは不十分とされ、違反する企業には重大な罰金が科される可能性があります。米国でも、不十分なサイバーセキュリティプログラムに対して企業や個人のリーダーを責任追及する動きがあります。

このような状況の中で、企業はセキュリティシアターに依存するのをやめ、真のセキュリティへの移行が求められています。これには、リスク、変化、そして成長に伴う不快感を受け入れることが必要です。真のセキュリティは、リスクベースでビジネスに適した方法でセキュリティとコンプライアンスを実施することを意味し、これは努力を要するプロセスです。しかし、この努力は、顧客に持続的な満足と幸福を提供し、私たちのデジタル世界の保護を技術の進化とともに発展させるために不可欠です。

from Trade the Comfort of Security Theater for True Security.