米インテル セキュリティとマカフィーは、3月2日、グローバル レポート「Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity」(偏った現場:報酬のアンバランスによりサイバーセキュリティ戦略が不利な立場に陥る)を発表した。
同レポートでは、サイバー攻撃者と企業のセキュリティ担当者が得られる報酬のアンバランスが原因となって、サイバー攻撃側に優位に働いている3つの重要領域が判明したとしている。
3つの領域とは、不自由な企業構造と流動的な犯罪構造、戦略と実行の違い、上級管理者と現場作業者の意識の違い。
攻撃側が流動的かつ分散型の市場で発展を遂げているのに対し、防御側は官僚的・トップダウンの体質に活動を制限されている現状があるという。調査に回答した組織の93%がサイバーセキュリティ戦略を構築しているとしているが、その戦略を完全に実行していると答えた組織はわずか49%にとどまる。
さらに、IT責任者の約60%は、自社のサイバーセキュリティ戦略を完全に実行できていると考えているが、それに同意する現場のIT担当者はわずか30%強だった。サイバー戦略を策定する上級管理者の判断基準は、その戦略を実行する現場の基準と異なるため、戦略の効果が限定的になっている現状があるという。
このレポートは、金融、医療、公共など5つの主要業種に従事する800人のサイバーセキュリティ担当者を対象に行われたインタビューとアンケート調査の結果をベースにして作成された。
「サイバーセキュリティ担当者の報酬は十分ではない」と回答した現場担当の回答者は42%に上る。しかし同じ回答をした意思決定者は18%で、チームリーダーではわずか8%という結果となった。ただし、65%の現場担当者は自社のサイバーセキュリティを強化したいという高い目的意識を持っている。また、経営陣よりも3倍も高い割合で、サイバーセキュリティ戦略が実行されない問題の原因は資金や人材不足にあると考えている。
95%の組織が、業務の妨害、知的財産の盗難、評判や会社ブランドへの悪影響など、サイバーセキュリティ侵害の影響を経験していると回答しているが、一方で、収入・収益の損失を報告した組織はわずか32%にとどまった。「サイバーセキュリティ戦略を完全に実行している」と回答した割合が最も低い業界は、行政機関で38%。民間組織と比べて、資金不足 (58%) や人材不足 (63%) を抱える行政機関の割合も高い。民間では、資金不足が33%、人材不足が43%だった。