険しい道を突き進む: 日本における予防的なセキュリティに関する人員・プロセス・テクノロジーの課題の克服

予防的なサイバーセキュリティの障害となるものや、日本の組織においてサイバーレジリエンスを構築する方法について、Tenable の委託により Forrester Consulting が2023 年に実施した委託調査の中からご紹介します。

脅威環境が進化を続ける中で、日本の組織はアタックサーフェスの包括的な把握がますます難しくなっているという事実に直面しています。 人員、プロセス、テクノロジーに関連する多数の障害に行く手を阻まれ、セキュリティチームによる予防的なサイバーセキュリティ対策の効果的な実施が非常に困難になっています。

新しいホワイトペーパー「古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに日本のサイバーセキュリティチームの悩みの種になっているか」によると、平均的な組織では、過去 2 年間において遭遇したサイバー攻撃の 63% に対しては予防的な防御の備えができていたことが明らかになっています。 しかし、逆に言えばそれだけしかカバーできていないということであり、残りの 37% の攻撃に対しては脆弱なままで、完全な阻止はできず事後対応的な軽減策を取らざるを得ませんでした。 

セキュリティ責任者と IT 責任者の 4 分の 3 (74%) が、自組織が予防的なサイバーセキュリティにもっと多くのリソースを割けば、より確実にサイバー攻撃を防ぐことができると確信しています。 このホワイトペーパーは、Tenable の委託により Forrester Consulting が 2023 年に実施した、日本からの回答者 50 名を含む 825 名のサイバーセキュリティおよび IT の責任者を対象とした委託調査に基づいています。

課題の概要

人員の課題: サイバーセキュリティチームと IT チームは、分断化されていることが多く、その業績も別々の相反する基準や目標をもって評価されています。 それぞれに染みついた考えがあるため、IT チームとセキュリティチームの間の調整は困難であり、多大な時間を要します。 

この調査で発表された統計について特筆すべき点は、 10 人中 7 人近くの回答者 (68%) が、サイバーセキュリティチームは重大インシデントとの終わりなき戦いから抜け出せずにいるため、組織のサイバーリスク削減に向けた事前対応型のアプローチを導入するための時間がほとんど残らないという共通した意見を持っていることです。 

プロセスの課題: 大量のサードパーティテクノロジーを適切なプロセスを経ずに管理することで、日本の組織が脆弱になる可能性があります。 今はクラウドベースのサービスやアプリケーションの時代であり、10 人中 7 人の回答者 (72%) が、SaaS のアプリやサービスのサードパーティプログラムを使用していると回答しています。 しかし、サードパーティ環境に対する「高い」または「非常に高い」可視性を備えているという回答は半数を若干下回っています (46%)。 このように可視性が不足していると、サイバー攻撃者が利用するおそれのある潜在的な盲点が生じ、それが時限爆弾となる可能性があります。

テクノロジーの課題: 専門家は、使うツールがサイロ化されているとユーザー、システム、ソフトウェア間の関係を見極めることができません。また、それらの異なるツールのすべてに別々の測定基準が存在することから、正確なリスク評価が困難です。 大半の回答者 (74%) が脆弱性の修正を優先順位付けする際にユーザーアイデンティティとアクセス権限を考慮していると回答している一方、3 分の 1 以上 (36%) は、自組織にはそうしたデータを予防的なサイバーセキュリティやサイバーエクスポージャー管理の業務に統合するための効果的な手段がないと回答しています。 

サイバーエクスポージャー管理の課題への取り組み

こうした課題はありますが、希望の光もあります。 日本の組織には、現在のサイバーセキュリティの成熟度レベルに関係なく、サイバーリスク削減に向けた予防的な措置を講じる力があります。 これらの障害を乗り越える鍵は、堅牢なサイバーエクスポージャー管理プログラムの実行にあります。

サイバーエクスポージャー管理プログラムを活用すれば、組織は脆弱性を評価し、修正作業に優先順位を付けて、サイバーセキュリティ業務の合理化を実行できます。 事後対応型の対策から事前対策型の戦略へと焦点を移すことによって、サイバー脅威に先んじて防御を強化することができます。

これらの課題に正面から取り組み、サイバーセキュリティに対する事前対応型のアプローチを採用することで、日本の企業はデジタル資産の保護、顧客からの信頼や自社の総合的な評判の維持が可能です。 この調査は、緊急に対応策を講じるべきであると強調する注意喚起の役割を果たしています。 日本の組織は、今こそ古い習慣から脱却して、自組織のチームを強化し、予防的なサイバーセキュリティが全盛を誇る未来を受け入れる時なのです。

これらの課題のさらなる詳細、最も成熟度が高い組織がどのように課題に対処しているかについてのインサイト、課題を克服するための推奨事項についてご覧になりたい場合は、ホワイトペーパー「古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに日本のサイバーセキュリティチームの悩みの種になっているか」をダウンロードしてください。