次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、Tech Research Asia(TRA)の協力の下で実施した調査結果をまとめた「アジア太平洋地域と日本のサイバーセキュリティの展望」の第3版を発表しました。本調査では、ランサムウェアのインシデント数、影響、コストが増加している状況にもかかわらず、多くの経営幹部はサイバーセキュリティに対する認識が甘く、自社が決して攻撃を受けることはないと考えていることが明らかになりました。
サイバーセキュリティの教育と啓蒙が課題。経営幹部の教育から始めることが必要
アジア太平洋地域および日本の企業では、過去1年間のサイバーセキュリティへの支出が増加し、セキュリティ対策の成熟度(自己評価)が向上しているにもかかわらず、自社の経営幹部がサイバーセキュリティを本当に理解していると考えている企業は僅か40%に留まっています。サイバーセキュリティのプロフェッショナルが表明している最大の不満は、自社の経営幹部や役員が攻撃を受けることがないと想定していることです。
また、回答者の60%は、サイバーセキュリティベンダーが経営幹部を教育・啓蒙するために必要な情報を提供していないと考えており、88%の企業が、今後24ヶ月間のセキュリティに関する最大の課題は、従業員とリーダーの意識向上と教育であると考えています。
アジア太平洋地域の企業が最も懸念している2つの攻撃手法「フィッシングとホエーリング (経営幹部や役員を標的とする攻撃)」と「脆弱な認証情報または認証情報の侵害」は、教育と意識向上キャンペーンを継続的に実施することで解決できる問題です。
ソフォスのAPJグローバルソリューションエンジニアであるアーロン・ビューガルは、次のように述べています。「ランサムウェア攻撃が複雑化する中で、効果的なサイバーセキュリティの教育プログラムを組織に導入して意識を向上することが求められています。セキュリティ侵害や攻撃を受けたために、サイバーセキュリティ戦略を変更している組織は多く存在します。そのような場合、攻撃を受けて戦略の変更を延々と繰り返すスパイラルに陥ることになり、サイバーセキュリティチームは常に守勢に回っています。この負の状況を断ち切り、プロアクティブな体制を構築するためには、まず組織の経営幹部の意識を改革し、セキュリティ教育へ投資し、組織全体のセキュリティ意識の底上げをトップダウンで進めていくことが求められます。」
スキル不足は今も大きな問題
スキル不足は、アジア太平洋地域および日本の組織において今も重要な課題です。調査対象となった企業の73%は、今後24か月にサイバーセキュリティの従業員の確保に問題が生じると予想し、26%は大きな問題に直面すると予想しています。
人材の確保が引き続き課題となる中で、企業は社内のセキュリティスペシャリストのスキルと能力を向上させる必要があると考えており、優先的にスキルを向上すべき分野を特定しています。重視されている分野には以下があります。
- クラウドセキュリティのポリシーとアーキテクチャ
- 「トレーナーを育成」できる従業員と経営幹部のサイバーセキュリティスキルトレーニング
- ソフトウェア脆弱性テスト
- 最新の脅威情報を常に取り入れること
- ポリシーの遵守と報告
サイバーセキュリティ・プロフェッショナルの上位のフラストレーション
今回の調査では、サイバーセキュリティのプロフェッショナルが職務を遂行するときにさまざまな課題や不満に直面していることが明らかになりました。それらのフラストレーションの多くはセキュリティへの意識、認識、メッセージ、教育に関連しています。アジア太平洋地域と日本におけるフラストレーションの上位3つは、以下の通りです。
- 経営幹部や役員が攻撃を受ける可能性を理解しておらず、適切な対応を講じていない。
- 高度なスキルを有するセキュリティプロフェッショナルの不足。
- 「恐怖と疑念」を与えるメッセージが多すぎるため、サイバーセキュリティについて正確に議論することが難しい。
サイバーセキュリティ・プロフェッショナルは、以下のようなフラストレーションも感じています。
- 攻撃を阻止するためにできることは何もないと経営幹部が考えている。
- セキュリティ脅威のスピードに追いつけない。
- IT 以外のスタッフのトレーニングに十分な投資も時間もかけられていない。
先述のビューガルは次のようにも述べています。「サイバーセキュリティ・プロフェッショナルは、今年も自分の職務を実施する時に多くのフラストレーションを感じており、多くが自分たちの警告やメッセージが伝わっていないと感じています。高度なスキルを有するセキュリティ・プロフェッショナルの不足という課題を除けば、他の多くのフラストレーションは、セキュリティ教育や意識向上プログラムを経営幹部や役員に最初に実施することによって解決できます。サイバーセキュリティ・プロフェッショナルにとっての悩ましいことは、企業の経営幹部のセキュリティに対する理解が進んでいない場合、フラストレーションを解消するために必要となるプログラムにこれらの企業が投資する可能性が低いという問題です。現在の問題はテクノロジーではなく、教育です。サイバーセキュリティへの支出を単に増やしても、業務継続の能力、顧客、そして企業の存続に対するサイバー攻撃の本質的な脅威を組織の経営幹部と従業員が理解していない限り、最適な効果を生み出すことはできないのです」
サイバーセキュリティ教育の強化が重要となっています。以下に、組織が迅速にサイバーセキュリティの教育を推進させるための5つのステップを紹介します。
- すべてを保護することは不可能であり、保護すべき最も重要な情報、データ、システムを特定することに注力することがより効果的であることを、経営幹部に理解してもらいます。
- サイバーセキュリティの基本について教育します。攻撃の真偽性、攻撃手法、脅威となる攻撃者、その他の専門用語をすべての従業員が理解できるようにします。
- 基本事項を明確に伝えることができたら、セキュリティ戦略を策定し、その戦略とデジタルトランスフォーメーションプログラムと統合します。
- 次に、実務的な内容を決定していきます。適用される法規制、セキュリティ侵害が発生したときの対応方法、身代金の支払い方針、ギャップの評価、将来の役割と義務などを決定していきます。
- 企業は、コンプライアンス、自社の運営環境に関わる法規制、規制に違反した場合に法的に求められる措置、データセキュリティと管理に関する適切なコントロールについて明確に把握しなければなりません。
本調査について
ソフォスは、Tech Research Asia(TRA)に委託して、アジア太平洋および日本のサイバーセキュリティ環境に関する本調査を実施しました。これには、オーストラリア、インド、日本、マレーシア、フィリピン、およびシンガポールの合計900社からの回答を収集した大規模な定量調査が含まれます。
調査レポートはこちらをご覧ください。
https://assets.sophos.com/X24WTUEQ/at/qj5p55qkv2gmbczj4p7p8j3/sophos-future-of-cybersecurity-apj-2022-wpja.pdf
Tech Research Asiaについて
TRAは、シドニー、メルボルン、シンガポール、クアラルンプール、香港、東京に経験豊富で多様なチームを有し、急成長を続けるITアナリスト、リサーチ、コンサルティングの企業です。アジア太平洋地域でエグゼクティブレベルのテクノロジーの買い手とサプライヤーにアドバイスを提供します。TRAのアプローチは厳格で、事実に基づき、オープンで、透明です。リサーチ、コンサルティング、エンゲージ、コメント、アドバイザリーの各種サービスを提供します。また、最新のテクノロジーを活用したいと考えるエグゼクティブなどのリーダーたちにとって重要な課題、トレンド、および戦略に関するTRA独自のリサーチも実施しています。TRAはまた、オンラインジャーナル『TQ』を発行して公開しています。www.techresearch.asia