巧妙化するサイバー攻撃、セキュリティ担当の課題は人材不足や予算など

Jada Jones (Special to ZDNET.com) 翻訳校正: 編集部

2022-10-07 10:21

 企業がデジタル変革の取り組みを進め、消費者情報をクラウドに保存し続ける中、インターネット利用者や企業にとって、サイバーセキュリティリスクに対する懸念は高まるばかりだ。

暗い部屋でPCを見る人
提供:Maksim Shmeljov/Shutterstock

 Foundryが、世界のセキュリティリーダー約900人を対象に実施した「2022 Security Priorities Study」によると、回答者の90%が自組織のセキュリティリスクへの対処が不十分だと考えていた。

 サイバーセキュリティ攻撃は、今に始まったことではない。しかし、攻撃者の手口は巧妙化しており、大学、病院、大企業、重要インフラを標的にしたものが増えている。

 企業は、テクノロジー脅威の進化があまりにも早く、サイバーセキュリティ担当者が追いつけないという問題に直面している。加えて、多くの企業のサイバーセキュリティ部門は人材不足のため、サイバー攻撃に対して極めて脆弱な状態に置かれている。

 こうした人材不足の中、IT幹部がセキュリティ脅威に対応しようとする場合、45%が既存スタッフの業務を増やすことに依存していた。また、45%が自動化技術を活用し、42%がセキュリティ機能を外部に委託していた。

 調査対象者は、インシデント対応を改善し、熟練したセキュリティスタッフを維持するには、自動化が重要なツールであると考えている。例えば、インシデント報告に対応するために、34%の企業は人間とマシンの力を連携させるSOAR(Security Orchestration, Automation and Response)技術の導入を検討していた。

 また調査から、ITセキュリティ脅威の主な要因は、依然として従業員のミスであることが分かった。セキュリティインシデントの最大の要因は、2021年の44%から減少しているものの、悪意のないユーザーエラーであると34%が回答した。これに、サードパーティーのセキュリティ脆弱性(28%)、パッチを適用していないソフトウェアの脆弱性(26%)、ソフトウェアサプライチェーンの侵害(17%)が続く。

 セキュリティリーダーは、自組織がセキュリティリスクに適切に対処できるよう、テクノロジー、人材、予算に十分な投資をしておらず、アプリケーションを開発する際も、セキュリティは往々にして後回しにされていると報告した。また、サイバーセキュリティ研修も、すべてのレベルのスタッフで不十分であることが分かった。

 サイバーセキュリティに対する予算配分をみると、大企業は約1億2200万ドル(約180億円)、中小企業は約1600万ドル(約23億円)を費やしており、平均的なセキュリティ予算は年間6500万ドル(約94億円)だった。

 将来的なセキュリティリスク防止のために、ノートPC、デスクトップ、サーバーなど、エンドポイントのセキュリティ保護に取り組んでいると、51%が回答した。セキュリティ啓発の研修も予定されており、46%が研修への投資を増やす予定である。

 多要素認証の強化など、22%が既存テクノロジーのアップグレードを計画しており、21%がデータのバックアップや復旧技術をアップグレードする予定だ。

 その一方で、32%がゼロトラスト技術について検討している。これは、社内で使われているデバイスであっても、ネットワークが自動的に信頼しないITシステムを用いるアプローチだ。ゼロトラスト技術の導入を予定している企業は20%を超え、2021年の13%から増加した。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]