本ブログは3月6日掲載のTripwire Blog「THE STATE OF SECURITY」からの翻訳記事です。
情報セキュリティの中心的存在であることは誰もが認めているRSA カンファレンス2017が行われました。毎年、このイベントには世界各国から数万人ものセキュリティ専門家が集まり、企業がデジタルセキュリティの概況をつかむのに最適な場所であると言えます。
Tripwireは毎年の本カンファレンスでは、参加者を対象に主要なセキュリティ上の問題に対する方針を調査しています。2016 年には、ランサムウェア攻撃に対する企業の予防・対応能力に関し、参加者の見解を調査しました。今年は200 名のセキュリティのプロである参加者の皆様にお聞きしたのは、企業とその顧客に対するデジタルセキュリティ上の懸念についてです。
「2016 年と比較して、2017 年のデジタルセキュリティがより心配か?」という質問には、5 分の 4 の回答者が「はい」と答えました。そのような回答の背景には、デジタル攻撃に対する政府の防御能力を懸念していることが考えられます。ロシア政府が米民主党全国委員会のシステムをハッキングしたとする事件を受けて、「アメリカ政府のデジタル防衛能力が信頼できる」と回答したのは、わずか 17%にとどまりました。
Tripwire の CTO、David Meltzer は、政府のデジタル防衛力を IT のプロがどの程度信頼するかによって、今後 1 年間のセキュリティに対する意思決定が左右されるだろうと述べています。
「個人も企業も、サイバーセキュリティを含むあらゆる種類の問題に対して、政府が手本を示し、リードしてくれることを期待しています。この調査の結果は、“サイバーセキュリティのベテランたちが、現在の政府のセキュリティ戦略が信用できないと考えており、それが企業の懸念にも波及する可能性がある”ということを示しています。企業は、今後 1 年間でその懸念が解消されることを期待していますが、セキュリティベンダーとの協力体制を強化して、セキュリティのための適切な取り組みが実行されていることを再確認する必要があるでしょう。」
また Tripwire の調査結果から、大半の回答者(60%)が「自分の組織は基本的なセキュリティコントロールを実行する能力がある」と考えていることがわかりました。しかし、IT のプロたちは自分の組織の防御が万全であると思っているわけではありません。回答者の 48%は「組織のセキュリティがうまくいかない原因はスキルのギャップである」と考えています。一方、約 3 分の 1(30%)は、「不適切なプロセスが企業の防御機能を弱体化させている」と答えています。このような原因により、企業は知的財産の侵害や評判の失墜、経済的損失を被る可能性があります。
Meltzer は、企業にとって常に課題となっているのは、スキルのギャップであると感じ、次のように話しています。
「重大なデータ侵害が企業の収益に打撃を与えている今、セキュリティのプロにとって最大の懸念事項が経済的損失であるのは当然です。低いセキュリティ能力が企業ブランドの評判に影響することが認識されてきたのは心強いことです。なぜなら、人々がもっとセキュリティに留意するようになるからです。しかし、すでに重大な問題として認識されているスキル不足という懸念材料が気掛かりです。企業は、セキュリティ機能の自動化を促進し、従業員による手動の作業を削減するためのテクノロジーを探す必要があります。」
企業はデジタルセキュリティのスキルを育成・維持するためのプロセスも開発すべきでしょう。
詳細レポートにご関心のある方は、こちらのページ(英語版)でご確認いただけます。
