「(聴衆に向かって)過去において自社がセキュリティ侵害にあった人は手を挙げて。今、手を挙げた人の企業は、セキュリティ対策が進んでいる。すべての企業は、セキュリティ侵害に遭っている。ただ、それに気がついていないだけだ」(EYグローバルセキュリティリーダー フェロー Ken Allan氏)
EY(アーンスト&ヤング)グローバルセキュリティリーダー フェローのKen Allan氏
EY(アーンスト&ヤング)フェローのAllan氏は、2月に公開された「グローバル情報セキュリティサーベイ」の調査結果を基に、企業のセキュリティ対策の現状を紹介した。
同調査は、2014年6月から2014年8月にかけて世界60カ国/25業種の企業を対象に実施。調査対象者は、経営幹部および情報セキュリティ担当幹部で、回答者数は1825人。回答者数の内訳は、EMEA(欧州/中東/インド/アフリカ)が39%、北/中/南米が26%、アジア太平洋地域が22%、日本が13%となっている。
Allan氏が指摘したのは、企業自身が攻撃者の優位性を認めていることである。同調査によると、56%の企業が、「組織化された高度なサイバー攻撃を、自社で検知できるとは考えられない(またその可能性は低い)」と回答したという。さらに37%の企業は、「リアルタイムでのサイバーリスクの可視化は不可能だ」と回答した。
こうした結果についてAllan氏は、「攻撃者優位を理解していのであれば、『すでにセキュリティ侵害に遭っている』ことを自覚し、対策するべきだ」と力説する。「しかし、企業はセキュリティ対策に予算を割かない」(同氏)
攻撃側は組織化され、技術レベルは日々向上しているにも関わらず、企業のセキュリティ予算は“向上”していない。同調査によると、43%の企業が「今後12カ月の情報セキュリティ予算は、前年度と同額」と回答。さらに5%の企業は、「前年比減になる」と回答している。
もう1つAllan氏が「組織・国境を越えた喫緊の課題」として挙げるのがセキュリティ人材の育成だ。53%の企業(組織)では、「セキュリティ人材の不足が、セキュリティ対策の足かせになっている」と感じているという。
「グローバル情報セキュリティサーベイ」のハイライト。42%の組織がSOC(Security Operation Center)を所有していない。この数字をどう見るかは意見が分かれるだろう
こうした課題の解決方法の1つとしてAllan氏は「組織間での情報共有」を挙げる。政府機関や民間企業を問わず、サイバー攻撃、(政治的メッセージを持つ)ハクティビスト、ゼロデイ攻撃、特定業界をターゲットにした攻撃手法などを共有すれば、各企業のセキュリティコスト削減になるだけでなく、検知、分析にかかる時間を短縮できる。
Allan氏も前出のChan氏と同様、「攻撃手法を予測する機能が重要になる」とし、「そのためには、インテリジェンスを備えたセキュリティ対策が必要」としている。
