ウィズセキュアは4月4日、Forrester Consultingに依頼して実施したグローバルリサーチの結果を発表した。
このリサーチは、日本、フィンランド、デンマーク、フランス、ドイツ、スウェーデン、英国、米国の企業/団体におけるITおよびサイバーセキュリティ製品/サービス導入における最終的な意思決定者、意思決定に関与・影響を与える立場にある409人を対象として2022年12月に実施されたもの。
対象者の60%はサイバーセキュリティ上の問題が発生した後に腰を上げるという受動的な対応をしていると回答しており、多くの企業のサイバーセキュリティへの取り組みが消極的なものであることが分かった。
業種別で見ると、製造業では71%がこうした受動的な対応をしているのに対し、規制の厳しい金融サービス業では受け身のアプローチを採っている企業は半数強にとどまり、業種によって多少の違いが見られた。
業種を問わず、セキュリティに対する受け身のアプローチが企業/団体にとって大きな問題であるということは広く認識されており、71%がサイバーセキュリティ予算を毎年増額している。しかし、90%が事後対応型のアプローチでは有事の際にさまざまな問題が生じると回答した。
従来、多くの企業ではサイバーセキュリティにおいて、脅威ベース(存在するサイバー脅威は何か)、資産ベース(保護すべき資産は何か)、リスクベース(対応すべきリスクは何か)のアプローチが採られていた。これに対し、ウィズセキュアでは「アウトカムベースセキュリティ」という考え方を推進している。企業そのものの成果(アウトカム)を基にする同アプローチにより、複雑化するセキュリティ対策を簡易化することができるとウィズセキュアでは考えている。
83%がアウトカムベースのセキュリティソリューションやサービスというコンセプトに関心を持っている、または今後の採用を計画していると回答した。
回答者がセキュリティに求めるアウトカムとして最も多かったのはリスク管理で、44%がセキュリティにおける最優先目標を達成するためのリスク軽減を望んでいる。40%がカスタマーエクスペリエンス(顧客体験)を向上させるためのセキュリティを望み、34%が売り上げの増加を挙げた。
多くの回答者がセキュリティに明確なアウトカムを期待している一方で、セキュリティにおける優先順位とビジネスにおけるアウトカムが完全に一致していると回答する企業は約20%にとどまった。
今回のリサーチから他に明らかになったこととして、42%がセキュリティの価値を評価すべき現状と目標状態の成熟度について十分な理解をしていないことと回答した。37%はサイバーセキュリティの価値測定は困難だと感じ、36%は一貫性を持ち有意義なデータを取得することは困難であると考えている。
また、28%はセキュリティの価値を示す際、効果的なセキュリティ対策を採用するとその価値を示す機会が減ってしまうというセキュリティのパラドックスを克服しなければならないことが大きな課題だとした。23%はサイバーセキュリティの指標を経営陣が理解でき意味のあるものに変換することが困難であると回答した。
