業界を問わず、最高情報セキュリティ責任者(CISO)は、サイバーセキュリティの脅威が絶えず進化し続ける厳しい状況に直面しています。より多くの、そして多様なタイプの脅威から企業を守らなければならない一方、より複雑なレイヤーへの対処が求められる新たな働き方に適応していかなければなりません。過去に使ったことのあるタイプのセキュリティツールを買い足せば状況は改善するのでは?と思うこともあるでしょう。しかし、以前はうまくいっていた戦略や解決策も、今日のあらゆる脅威に対処するにはもはや適切ではなくなっているのです。
弊社は最近、14業界にわたる中小・大企業のセキュリティリーダー4,000人以上を対象に調査を実施しました。その結果、いくつかの包括的な傾向が明らかになりました。
何よりもまず、サイバー脅威が増加しています。回答者の4分の3以上(78%)が過去1年間にサイバー攻撃を経験しており、そのほとんどが複数の攻撃を経験しています。同時に、脅威のベクトルも拡大しています。多くの組織がハイブリッド業務をサポートし続ける中、CISOとそのチームはデータ、アプリケーション、ユーザーを保護するためのより優れた方法を見つける必要に駆られるようになりました。
CISOは、サイバー攻撃への備えの強化に断固として取り組んでいます。しかし、ここには埋めなければならない決定的なギャップがあります。一部の脅威から保護するために最新のソリューションを導入している企業でさえ、他の領域は無防備なままになっています。例えば、多くのCISOがセキュアアクセスサービスエッジ(SASE)やZero Trustソリューションの導入を進めているものの、十分な認証、クラウドセキュリティ、ブラウザ分離 ソリューションを導入しているところは比較的少ないのが現状です。
ソリューションを増やすことは、解決策にはなりません。数多くのポイント製品を管理する複雑さに、負担を強いられている組織があまりにも多いのです。実際、ほとんどの回答者がアーキテクチャに含まれる製品は6~15と回答していますが、大規模な組織では20を超えることも少なくありません。バラバラのパッチワークのようなソリューションを積み重ねても、コストがかかるだけでなく、セキュリティギャップが残ることがよくあります。
多くのCISOは、新しいソリューションへの投資と人員の増員で対処しようとしてきました。しかし、それでもなお、安全保障への支出増を主張しつづけなければならない状況にあります。このやり方では、同じことの繰り返しとなっている状況です。CISOは、セキュリティに対する新たな戦略的アプローチで前進しなければならなくなっています。
CISOがセキュリティ戦略を刷新する際、企業文化の変革にも取り組まなければなりません。アンケートの回答者が認めているように、侵害の防止において従業員の教育における改善は、インシデント発生時に組織が迅速に対応できることにつながります。
調査結果から全 体的なメッセージを読み解くとすれば、それは変革の必要性になります。サイバー攻撃が増加の一途をたどる中、あらゆる規模のあらゆる業種の組織は、現状から脱却しなければなりません。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事では、以下のことがわかるようになります。
4,000人以上のサイバーセキュリティ専門家による調査結果
セキュリティインシデント、準備、結果に関する新たな知見
CISOがその組織のために将来の安全を保護し、より良い成果を達成するための考察