企業の経営陣とセキュリティ担当役員の間には、セキュリティ意識に大きな差があることが明らかになった。その差がサイバー攻撃のリスクにつながるかもしれない。
世界経済フォーラムが発表した新しいレポート「Global Cybersecurity Outlook 2022」では、企業の経営者と情報セキュリティ担当役員の間に、企業のサイバーレジリエンスの現状認識について大きなギャップがあると警告している。
レポートによれば、経営幹部の92%が、自分の会社のリスク管理戦略にはサイバーレジリエンスが組み込まれていると回答していた。これは企業の経営幹部が、自分の会社はサイバー攻撃の被害に遭わないように十分に保護されているか、インシデントが起きても被害は軽減でき、大きな混乱は起きないと考えていることを意味する。
しかし、セキュリティ担当役員に同じ質問をすると、自社のリスク管理戦略に十分にサイバーレジリエンスが組み込まれていると答えたのは55%にすぎなかった。この差は、サイバーセキュリティに関する認識に大きな分断があることを示している。
このギャップは、企業をサイバー攻撃に脆弱な状態に置いてしまう可能性がある。経営陣が脅威を緩和するために十分な対策を講じていると考えているにも関わらず、実際には想定されていない脆弱性があったり、追加の対策を講じる必要があったりするためだ。
このようなセキュリティに対する認識の差が存在する理由の1つとして、最高情報セキュリティ責任者(CISO)やその他のサイバーセキュリティ担当者が、十分に相談を受けていないと感じていることが挙げられる。このようなギャップがあると、効率性やコストを名目にセキュリティが犠牲にされ、悲惨な出来事につながりかねない。
例えばランサムウェアの問題を考えてみよう。レポートによれば、サイバーセキュリティ担当役員の80%が、ランサムウェアは企業にとってだけでなく、公共の安全にとっても「危険」であり「脅威」だと考えているという。
ランサムウェア攻撃の多くは、二要素認証の導入や、バックアップの準備、セキュリティアップデートの適用といった一般的なセキュリティ対策を講じていればなくせるはずのネットワーク内の脆弱性を悪用したものだ。
しかし企業は、こうした領域の取り組みや、それらの措置を正しく確実に実施するために必要な人材への投資に消極的な場合がある。これは、この種の費用を、将来余分なコストが発生することを防ぐための投資ではなく、単なるコストだと考えるためだ。
サイバー攻撃の被害に遭って初めて、経営陣がサイバーセキュリティに注意を払い始めるという場合も多い。
