未来を確かなものに:サイバーセキュリティ準備状況調査レポート
第9章:セキュリティ文化の向上
適切なサイバーセキュリティソリューションの導入が脅威の対処に不可欠であることは間違いありません。しかし、多くの組織では企業文化を変える必要もあります。より強力なサイバーセキュリティ文化を醸成することで、予算の制約、人材不足、乱立する優先事項などの課題を克服しつつ、増大する脅威に対抗することができます。
どのような文化の変化が必要なのでしょうか?セキュリティリーダーは、まず理解と認識を高めなければなりません。従業員は攻撃がどのように発生するかを理解する必要があります。従業員は、フィッシング詐欺や資格情報の盗難、加えて企業活動を停止させる可能性のあるWeb攻撃、分散型サービス妨害(DDoS)攻撃、zero-dayエクスプロイトについて教育を受ける必要があります。攻撃の特定方法とセキュリティ部門への最適な報告方法についてトレーニングを受ける必要があります。
同時に、サイバー攻撃防止の重要性も理解する必要があります。攻撃の成功は、ブランドの評判低下、顧客喪失、多額の金銭的損失など、さまざまな影響をもたらす可能性があることを認識しなければなりません。
さらに従業員は、新しいアプリを独自にインストールしたり、セキュリティポリシーを回避する方法を見つけたりすべきではない理由を理解する必要があります。技術に精通した従業員の中には、一見些細な技術的課題であれば自分たちで解決する方が簡単で迅速だと考える人もいるでしょう。ですが、シャドーITに参加することで、組織を深刻なリスクにさらす可能性があります。
セキュリティチームが従業員を教育する際、企業のセキュリティは共同の責任であることを明確に伝える必要があります。多くの場合、従業員一人ひとりが脅威に対する防衛の最前線となります。従業員がインシデントを特定し報告できるようにすることは、侵害を防止する上で重要な役割を果たすことになります。
企業セキュリティに対する責任を適切に分散することで、最終的に多くの組織が直面する予算や人員の問題を一部緩和することができます。例えば、従業員がフィッシング攻撃をより適切に識別できれば、このような詐欺行為に引っ掛かる可能性は低くなり、犯罪者に門戸を開くような認証情報を不用意に渡してしまう可能性は低くなります。また、フィッシングの成功率を低減することができれば、セキュリティチームが対処しなければならない漏えい件数も減ります。
認識と理解の促進は、経営陣および取締役会まですべてに行き渡らせなければなりません。セキュリティリーダーが、攻撃の蔓延と、攻撃がもたらす多大な被害について他の経営陣や取締役会を教育することができれば、セキュリティに焦点を当てたプログラムやポリシーへの支持を獲得し、より大きなセキュリティ予算に対する承認を得ることができます。
経営陣の意識向上は、企業全体で姿勢と行動の変化を提唱する影響力のあるリーダーとなる「先導者」を生み出すことにも役立ちます。先導者は、従業員にセキュリティの価値観を浸透させ、重要なポリシーを採用するように意識付けを行うことができます。
企業に強力なセキュリティ文化があれば、CISOはより積極的に行動できます。インシデントが発生してからの対処ではなく、事前にセキュリティイニシアチブを推進し、備えを強化することができるようになります。
堅牢なサイバーセキュリティ文化を醸成することで、実際に具体的なサイバーセキュリティ上の利点が得られます。Forresterの最新の調査では、回答者の約60%が、企業文化の改善により、チームが過去1年間にインシデントにより迅速に対応できたと回答しています。多くの組織が次の攻撃への備えを強化するのに苦労する中、従業員の意識と理解の強化は、組織にとって最高の投資の1つとなり得ます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事では、以下のことがわかるようになります。
4,000人以上のサイバーセキュリティ専門家による調査結果
セキュリティインシデント、準備、結果に関する新たな知見
CISOがその組織のために将来の安全を保護し、より良い成果を達成するための考察