IBMが700人以上の経営層を対象に実施した調査によると、サイバー犯罪対策に関して経営層と最高情報セキュリティ責任者(CISO)の間で認識の相違があるという結果が出た。この調査では、経営層の70%が自分たちの組織にとって最大の脅威となっているのは悪意を持った個人であると考えていることが分かった。IBMは、これ対して、国連の報告書に示されているように、サイバー攻撃の80%は、データや手段、専門知識を広く共有する高度に組織化された犯罪集団によるものだと指摘している。
- TechRepublic
Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
また、最高経営責任者(CEO)の50%以上が、サイバー犯罪対策にはコラボレーションが必要であることに同意しているが、自社のサイバーセキュリティ事件の情報を外部と共有する意向を表明したCEOは全体のわずか3分の1にすぎないことが分かった。
さらに最高財務責任者(CFO)、最高人事責任者(CHRO)、最高マーケティング責任者 (CMO)のおよそ60%が、自ら、および関連する管轄部門がサイバーセキュリティ戦略および実行に積極的に関与していないことを認めている。例えば、サイバーセキュリティに従業員を関与させる最初の一歩である従業員の研修を実施したと答えたのは、CHROのわずか57%だった。
調査対象となった経営層の94%が、今後2年の間に自社が重大な事件に巻き込まれる可能性があると考えているとIBMは明らかにしている。同社の分析によると、備えがあり、こうした脅威に対応できると思っているのは、回答者の17%だった。
IBMはこの17%を「サイバー・セキュア」な回答者(準備万端で極めて有能な経営層)に分類している。「サイバー・セキュア」な経営層は、サイバーセキュリティプログラムに経営層のコラボレーションを組み入れる可能性と、取締役会レベルで通常の議題項目としてサイバーセキュリティを取り上げる可能性が他の経営層よりそれぞれ2倍も高くなっている。
IBMは「サイバー・セキュア」な組織になるためのヒントとして、セキュリティリスクアセスメントを実施し、従業員向けの教育やトレーニングを開発し、セキュリティを企業のリスク計画に組み込むことや、セキュリティガバナンスプログラムを設けて、CISOに権限を委譲し、経営会議でサイバーセキュリティ問題を取り上げて定期的に話し合い、セキュリティ対応計画策定に経営層を参加させることなどを挙げている。
この調査結果は、IBMセキュリティ事業およびIBM Institute for Business Valueが発表したもので、700人以上のCxOと呼ばれる経営層を対象に実施したもの。28カ国、18業種のCISOを除外した経営層に対して行った企業のサイバー・セキュリティに関するインタビューに基づいている。
