ウィズセキュアがForrester Consultingに依頼し2022年12月に8ヶ国 (日本、フィンランド、デンマーク、フランス、ドイツ、スウェーデン、イギリス、アメリカ) の企業/団体のITおよびサイバーセキュリティ製品/サービス導入における最終的な意思決定者、意思決定に関与する立場、意思決定に影響を与える立場にある409名を対象に実施したリサーチによると、企業はサイバーセキュリティに対して消極的なアプローチを取っており、それが企業価値の向上とビジネス上のアウトカム (成果) 達成との歩調に乱れをもたらす原因となっていることが明らかになりました。
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) は同社がリサーチ会社であるForrester Consulting社 (以下、Forrester) に依頼し2022年12月に8ヶ国 (日本、フィンランド、デンマーク、フランス、ドイツ、スウェーデン、イギリス、アメリカ) の企業/団体のITおよびサイバーセキュリティ製品/サービス導入における最終的な意思決定者、意思決定に関与する立場、意思決定に影響を与える立場にある409名を対象に実施したリサーチの結果を発表しました。同リサーチによると、企業はサイバーセキュリティに対して消極的なアプローチを取っており、それが企業価値の向上とビジネス上のアウトカム (成果) 達成との歩調に乱れをもたらす原因となっていることが明らかになりました。
従来、多くの企業ではサイバーセキュリティにおいて、存在するサイバー脅威は何か (脅威ベース)/保護すべき資産は何か (資産ベース)/対応すべきリスクは何か (リスクベース) のアプローチが採られていました。それに対し、ウィズセキュアでは企業そのものの成果 (アウトカム) を基にする「アウトカムベースセキュリティ」という考え方を推進しています。このアプローチにより、複雑化するセキュリティ対策を簡易化することができるとウィズセキュアでは考えています。
本リサーチでは、回答者の60%はサイバーセキュリティ上の問題が発生した後に腰を上げるという受動的な対応をしていると回答していており、多くの企業のサイバーセキュリティへの取り組みが消極的なものであることがわかります。しかし、83%の回答者がアウトカムベースのセキュリティソリューションやサービスというコンセプトに関心を持っている、または今後の採用を計画していると回答しています。
業種別では、製造業では71%がこうした受動的な対応をしているのに対し、規制の厳しい金融サービス業では受け身のアプローチを取っている企業は半数強にとどまるなど、業種によって多少の違いが見られました。業種を問わず、こうしたセキュリティに対する受け身のアプローチが企業/団体にとって大きな問題であるということは広く認識されています。回答者の71%が毎年サイバーセキュリティの予算を増額しているにもかかわらず、全体の90%が事後対応型のアプローチでは有事の際に様々な問題が生じるであろうと回答しています。
サイバーリスクの可視化、必要なスキルやリソースの確保、迅速かつ効果的な対応などが、回答者が最も重要視している課題です。
こうした結果について、ウィズセキュアでCISO (Chief Information and Security Officer = 最高情報セキュリティ責任者) を務めるChristine Bejerasco (クリスティン・ベヘラスコ) は次のように語っています。
「現在、セキュリティへの投資の多くは、サイバーリスクの軽減を目的としているものです。しかし、軽減されるリスクが、企業がその事業において達成したいと考えているアウトカムにとって最も重要なものではない場合、問題が発生します。その結果、セキュリティへの投資と企業がビジネス上達成したいと考えるアウトカムに乖離が生じるか、セキュリティに充分な投資がなされなくなる可能性があるのです。」
回答者がセキュリティに求めるアウトカムとして最も多かったのはリスク管理で、対象者の44%がセキュリティにおける最優先目標を達成するためのリスク軽減を望んでいる、と回答しています。また、40%の回答者がカスタマーエクスペリエンス (顧客体験) を向上させるためのセキュリティを望んでおり、続いて34%の回答者が売上の増加を挙げています。
多くの回答者がセキュリティに明確なアウトカムを期待している一方で、セキュリティにおける優先順位とビジネスにおけるアウトカムが完全に一致していると回答する企業は約20%に過ぎません。
複雑化するIT環境の管理、相反するセキュリティとビジネスアウトカムの整合、自らが望むレベルでの検知テクノロジーの維持など、サイバーセキュリティをビジネスアウトカムに結びつける取り組みには、多くの課題があります。
しかし、セキュリティの優先順位がビジネスアウトカムにどの程度役立っているかを評価することも、同様に問題でした。回答者たちは以下のものを重要課題として挙げています。
● 42%は、セキュリティの価値を評価すべき現状と目標状態の成熟度について十分な理解をしていない。
● 37%がサイバーセキュリティの価値測定は困難だと感じている。
● 36%は、一貫性を持ち有意義なデータを取得することは困難であると感じている。
● 28%が、セキュリティの価値を示す際に、効果的なセキュリティ対策を採用するとその価値を示す機会が減ってしまうというセキュリティのパラドックスを克服しなければならないことが大きな課題だと感じている。
● 23%は、サイバーセキュリティの指標を経営陣が理解でき意味のあるものに変換することが困難であると感じている。
本リサーチに関するレポート「The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness」 (英語) は、以下のページでご覧いただけます。
(リンク »)
従来、多くの企業ではサイバーセキュリティにおいて、存在するサイバー脅威は何か (脅威ベース)/保護すべき資産は何か (資産ベース)/対応すべきリスクは何か (リスクベース) のアプローチが採られていました。それに対し、ウィズセキュアでは企業そのものの成果 (アウトカム) を基にする「アウトカムベースセキュリティ」という考え方を推進しています。このアプローチにより、複雑化するセキュリティ対策を簡易化することができるとウィズセキュアでは考えています。
本リサーチでは、回答者の60%はサイバーセキュリティ上の問題が発生した後に腰を上げるという受動的な対応をしていると回答していており、多くの企業のサイバーセキュリティへの取り組みが消極的なものであることがわかります。しかし、83%の回答者がアウトカムベースのセキュリティソリューションやサービスというコンセプトに関心を持っている、または今後の採用を計画していると回答しています。
業種別では、製造業では71%がこうした受動的な対応をしているのに対し、規制の厳しい金融サービス業では受け身のアプローチを取っている企業は半数強にとどまるなど、業種によって多少の違いが見られました。業種を問わず、こうしたセキュリティに対する受け身のアプローチが企業/団体にとって大きな問題であるということは広く認識されています。回答者の71%が毎年サイバーセキュリティの予算を増額しているにもかかわらず、全体の90%が事後対応型のアプローチでは有事の際に様々な問題が生じるであろうと回答しています。
サイバーリスクの可視化、必要なスキルやリソースの確保、迅速かつ効果的な対応などが、回答者が最も重要視している課題です。
こうした結果について、ウィズセキュアでCISO (Chief Information and Security Officer = 最高情報セキュリティ責任者) を務めるChristine Bejerasco (クリスティン・ベヘラスコ) は次のように語っています。
「現在、セキュリティへの投資の多くは、サイバーリスクの軽減を目的としているものです。しかし、軽減されるリスクが、企業がその事業において達成したいと考えているアウトカムにとって最も重要なものではない場合、問題が発生します。その結果、セキュリティへの投資と企業がビジネス上達成したいと考えるアウトカムに乖離が生じるか、セキュリティに充分な投資がなされなくなる可能性があるのです。」
回答者がセキュリティに求めるアウトカムとして最も多かったのはリスク管理で、対象者の44%がセキュリティにおける最優先目標を達成するためのリスク軽減を望んでいる、と回答しています。また、40%の回答者がカスタマーエクスペリエンス (顧客体験) を向上させるためのセキュリティを望んでおり、続いて34%の回答者が売上の増加を挙げています。
多くの回答者がセキュリティに明確なアウトカムを期待している一方で、セキュリティにおける優先順位とビジネスにおけるアウトカムが完全に一致していると回答する企業は約20%に過ぎません。
複雑化するIT環境の管理、相反するセキュリティとビジネスアウトカムの整合、自らが望むレベルでの検知テクノロジーの維持など、サイバーセキュリティをビジネスアウトカムに結びつける取り組みには、多くの課題があります。
しかし、セキュリティの優先順位がビジネスアウトカムにどの程度役立っているかを評価することも、同様に問題でした。回答者たちは以下のものを重要課題として挙げています。
● 42%は、セキュリティの価値を評価すべき現状と目標状態の成熟度について十分な理解をしていない。
● 37%がサイバーセキュリティの価値測定は困難だと感じている。
● 36%は、一貫性を持ち有意義なデータを取得することは困難であると感じている。
● 28%が、セキュリティの価値を示す際に、効果的なセキュリティ対策を採用するとその価値を示す機会が減ってしまうというセキュリティのパラドックスを克服しなければならないことが大きな課題だと感じている。
● 23%は、サイバーセキュリティの指標を経営陣が理解でき意味のあるものに変換することが困難であると感じている。
本リサーチに関するレポート「The Value Of Putting Security Outcomes First: Rethink Cybersecurity To Amplify Resilience, Productivity, And Competitiveness」 (英語) は、以下のページでご覧いただけます。
(リンク »)
このプレスリリースの付帯情報
Outcome-base-security 用語解説
WithSecure™について
WithSecure™は、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を検出し、当社のセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。当社は30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたWithSecureは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。
詳細は www.withsecure.com をご覧ください。また、Twitter @WithSecure_JP でも情報の発信をおこなっています。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
