人材、プロセス、テクノロジーの課題がアジア太平洋地域の予防型サイバーセキュリティの妨げとなっている

予防型のサイバーセキュリティの障害となるものや、APAC の組織においてサイバーレジリエンスを構築する方法について、Tenable の委託により Forrester Consulting が2023 年に実施した調査結果からご紹介します。

政府機関や保険会社、投資家からの監視が強まる中、多くの組織では有効なレポートの提供やリスク態勢の情報伝達が課題となっています。 徐々に複雑化している脅威状況を背景に、アジア太平洋地域 (APAC) の組織は、自組織のサイバー攻撃に対する脆弱性を正確に評価できないという障壁に直面し、さらに、人材、プロセス、テクノロジーに起因する数々の障害がその困難さを悪化させ、予防型のセキュリティ対策を効果的に実施することが要求されているサイバーセキュリティチームにとって非常に厳しい状況が生じています。

新しいホワイトペーパー Old Habits Die Hard: How People, Process and Technology Challenges Are Hurting Cybersecurity Teams in APAC (古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに APAC のサイバーセキュリティチームの悩みの種になっているか) によると、平均的な組織では、過去 2 年間において遭遇したサイバー攻撃の 59% に対しては予防的な防御が備えられていたことが明らかになっています。 しかし、逆に言えばそれだけしかカバーできておらず、残りの 41% の攻撃に対しては脆弱なままで完全な阻止ができず、事後対応的な緩和策を取らざるを得ない状況でした。 

セキュリティ責任者と IT 責任者の 4 分の 3 以上 (76%) が、自組織が予防型のサイバーセキュリティにもっと多くのリソースを割けば、より確実にサイバー攻撃を防ぐことができると確信しています。 このホワイトペーパーは、Tenable の委託により Forrester Consulting が 2023 年に実施した、APAC からの回答者 219 名を含む 825 名のサイバーセキュリティおよび IT の責任者を対象とした調査に基づいています。

課題の概要

人と組織の課題: サイバーセキュリティチームと IT チームは、分断化されていることが多く、従業員の評価にも別々の相反する基準や目標が適用されています。それぞれに染みついた考えがあるため、IT チームとサイバーセキュリティチームの間の調整は困難であり、多大な時間を要します。

この調査で発表された統計について特筆すべき点は、 10 人中 6 人の回答者 (61%) が、サイバーセキュリティチームは重大インシデントの対応に追われるばかりで、組織のサイバーリスク削減に向けた事前対策型のアプローチを導入するための時間がほとんどないという共通した意見を持っていることです。 

プロセスの課題: 大量のサードパーティテクノロジーを適切なプロセスを経ずに管理しようとすると、組織の脆弱化を招く可能性があります。 今はクラウドベースのサービスやアプリケーションの時代であり、10 人中 7 人の回答者 (72%) が、自組織は SaaS のアプリやサービスのサードパーティプログラムを使用していると回答しています。 しかし、サードパーティ環境に対する「高い」または「非常に高い」可視性を備えているという回答は半数未満 (48%) です。 このような可視性の不足が時限爆弾となり、サイバー攻撃者が悪用するような潜在的な盲点が生じる可能性があります。

テクノロジーの課題: 専門家は、使うツールがサイロ化されているとユーザー、システム、ソフトウェア間の関係を見極めることができません。また、異なるツールが別々の測定基準を使用しているので正確なリスク評価が困難です。 大半の回答者 (75%) が脆弱性の修正を優先順位付けする際にユーザーアイデンティティとアクセス権限を考慮していると回答している一方、半数以上 (53%) は、自組織にはそのようなデータを予防型のサイバーセキュリティやサイバーエクスポージャー管理の業務に統合するための効果的な手段がないと回答しています。

サイバーエクスポージャー管理の課題への取り組み

さて、これらの多くの課題の中には、希望の光もあります。 APAC の組織には、現在のサイバーセキュリティの成熟度レベルの高低に関わらず、サイバーリスク削減に向けた予防的な措置を講じる力があります。 堅牢なサイバーエクスポージャー管理プログラムの実行が、障壁を乗り越える鍵となります。

サイバーエクスポージャー管理プログラムを活用すれば、組織は脆弱性を評価し、修正作業に優先順位を付けて、サイバーセキュリティ業務の合理化を実行できます。 事後対応型の対策から事前対策型の戦略へと焦点を移すことによって、サイバー脅威に先んじて防御を強化することができます。

これらの課題に正面から取り組み、サイバーセキュリティに対する事前対策型のアプローチを採用するAPAC の企業は、デジタル資産を保護し、顧客からの信頼や自社の総合的な評判を維持することができます。 この調査は、緊急に対応策を実行することを促す警鐘の役割を果たしています。 APAC の組織は、今こそ古い習慣から脱却して、担当部門を強化し、予防型のサイバーセキュリティが全盛を誇る未来を受け入れるべきです。

これらの課題のさらなる詳細、最も成熟度が高い組織がどのように課題に対処しているかについてのインサイト、課題を克服する方法についての推奨事項については、ホワイトペーパー Old Habits Die Hard: How People, Process and Technology Challenges Are Hurting Cybersecurity Teams in APAC (古い習慣はなかなか消えない: 人員、プロセス、テクノロジーの課題がいかに APAC のサイバーセキュリティチームの悩みの種になっているか) をダウンロードしてご一読ください。