企業がデジタル変革の取り組みを進め、消費者情報をクラウドに保存し続ける中、インターネット利用者や企業にとって、サイバーセキュリティリスクに対する懸念は高まるばかりだ。
提供:Maksim Shmeljov/Shutterstock
Foundryが、世界のセキュリティリーダー約900人を対象に実施した「2022 Security Priorities Study」によると、回答者の90%が自組織のセキュリティリスクへの対処が不十分だと考えていた。
サイバーセキュリティ攻撃は、今に始まったことではない。しかし、攻撃者の手口は巧妙化しており、大学、病院、大企業、重要インフラを標的にしたものが増えている。
企業は、テクノロジー脅威の進化があまりにも早く、サイバーセキュリティ担当者が追いつけないという問題に直面している。加えて、多くの企業のサイバーセキュリティ部門は人材不足のため、サイバー攻撃に対して極めて脆弱な状態に置かれている。
こうした人材不足の中、IT幹部がセキュリティ脅威に対応しようとする場合、45%が既存スタッフの業務を増やすことに依存していた。また、45%が自動化技術を活用し、42%がセキュリティ機能を外部に委託していた。
調査対象者は、インシデント対応を改善し、熟練したセキュリティスタッフを維持するには、自動化が重要なツールであると考えている。例えば、インシデント報告に対応するために、34%の企業は人間とマシンの力を連携させるSOAR(Security Orchestration, Automation and Response)技術の導入を検討していた。
また調査から、ITセキュリティ脅威の主な要因は、依然として従業員のミスであることが分かった。セキュリティインシデントの最大の要因は、2021年の44%から減少しているものの、悪意のないユーザーエラーであると34%が回答した。これに、サードパーティーのセキュリティ脆弱性(28%)、パッチを適用していないソフトウェアの脆弱性(26%)、ソフトウェアサプライチェーンの侵害(17%)が続く。
セキュリティリーダーは、自組織がセキュリティリスクに適切に対処できるよう、テクノロジー、人材、予算に十分な投資をしておらず、アプリケーションを開発する際も、セキュリティは往々にして後回しにされていると報告した。また、サイバーセキュリティ研修も、すべてのレベルのスタッフで不十分であることが分かった。
サイバーセキュリティに対する予算配分をみると、大企業は約1億2200万ドル(約180億円)、中小企業は約1600万ドル(約23億円)を費やしており、平均的なセキュリティ予算は年間6500万ドル(約94億円)だった。
将来的なセキュリティリスク防止のために、ノートPC、デスクトップ、サーバーなど、エンドポイントのセキュリティ保護に取り組んでいると、51%が回答した。セキュリティ啓発の研修も予定されており、46%が研修への投資を増やす予定である。
多要素認証の強化など、22%が既存テクノロジーのアップグレードを計画しており、21%がデータのバックアップや復旧技術をアップグレードする予定だ。
その一方で、32%がゼロトラスト技術について検討している。これは、社内で使われているデバイスであっても、ネットワークが自動的に信頼しないITシステムを用いるアプローチだ。ゼロトラスト技術の導入を予定している企業は20%を超え、2021年の13%から増加した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
