最も価値のあるサイバースキル、クラウドセキュリティの主なトレンド、サイバーセキュリティがビジネスに与える大きな影響

新年おめでとうございます。 雇用者が最も重視するサイバーセキュリティの専門知識、Google サイバーセキュリティ対応チームのクラウドセキュリティの動向に関する最新の見解、サイバーセキュリティのビジネスへの影響拡大についての Deloitte レポート、サイバー支出の増加予測などについて、すべてをご紹介します。

1 月 6 日までの 1 週間で、最も注目された 6 つのトピックについて詳しくご紹介します。

1 - 賞与アップにつながるサイバースキル

新しい年を迎えて、どのようなサイバーセキュリティの専門知識が高く評価され、着実な賞与の受給につながっているかをチェックするには良いタイミングです。そこで、Foote Partners による 2022 年 10 月 1 日までの 6 か月間の最新データを参照し、以下の情報をピックアップしました。

資格を必要としない IT スキルのうち、賞与が高額となり、また価値が高まっているものとして、以下のサイバーセキュリティ関連のスキルが注目されています。

• セキュリティ監査
  • 平均プレミアム: 基本給の 20 % 相当
  • 市場価値の上昇: 5.3 % 
• Azure key vault
  • 平均プレミアム: 基本給の 19 % 相当
  • 市場価値の上昇: 5.6%
• 暗号技術
  • 平均プレミアム: 基本給の 18 % 相当
  • 市場価値の上昇: 20%
• ID およびアクセス管理
  • 平均プレミアム: 基本給の 18 % 相当
  • 市場価値の上昇: 5.9 % 
• ペネトレーションテスト
  • 平均プレミアム: 基本給の 17 % 相当
  • 市場価値の向上率: 21.4 %
• セキュリティテスト
  • 平均プレミアム: 基本給の 17 % 相当
  • 市場価値の上昇: 13.3 %
• 脅威検出/モデリング
  • 平均プレミアム: 基本給の 17 % 相当
  • 市場価値の上昇: 13.3 %

IT 認定資格のカテゴリでは、以下のサイバーセキュリティ関連の資格が賞与額と価値の上昇で際立っています。

• GIAC GIAC Certified Forensics Analyst (GCFA)
  • 平均プレミアム: 基本給の 12 % 相当
  • 市場価値の上昇: 9.1 %
• InfoSys Security Engineering Professional (ISSEP/CISSP)
  • 平均プレミアム: 基本給の 12 % 相当
  • 市場価値の上昇: 9.1 %
• Okta 認定プロフェッショナル 
  • 平均プレミアム: 基本給の 11 % 相当
  • 市場価値の上昇: 57.1 %
• AWS certified security 
  • 平均プレミアム: 基本給の 11 % 相当
  • 市場価値の上昇: 22.2 %
• Certificate of Cloud Security Knowledge (CCSK)
  • プレミアム: 基本給の 11 % 相当
  • 市場価値の上昇: 10%
• CompTIA Advanced Security Practitioner (CASP)
  • 平均プレミアム: 基本給の 10 % 相当 
  • 市場価値の上昇: 11.1 %

この Foote Partners のデータは、同社による第 3 四半期の 「2022 IT Skills Demand and Pay Trends Report」 と第 3 四半期の 「2022 IT Skills and Certification Pay Volatility Index」から抜粋したものです。 この 2 つの四半期レポートには、米国およびカナダの 4,000 社以上の雇用主から得たデータが含まれています。これは、雇用主が 37 万 2,000 人以上の技術系従業員の給与データを、この IT アナリスト企業へ提供したものです。 

Foote Partners の最新データについては以下をご覧ください。

• Tech’s Winning (and Losing) Jobs in 2023 (Dice)
• Foote Partners: bonus disparities reveal tech skills most in demand in Q3 (CIO Magazine)
• Security Skills Command Premiums in Tight Market (Dark Reading)

2 - Google のサイバーセキュリティ対応チームがクラウドセキュリティの動向を解説

Google の最新レポート「Threat Horizons」が公開されました。このレポートでは、同社のサイバーセキュリティ対応チームがまとめた 2023 年の主なクラウドセキュリティの動向についての概要が説明されており、これには以下が含まれます。

• クラウドのアイデンティティと認証がこれまで以上に複雑化した状況は企業にとって難題となっている。一方、攻撃者は複数のクラウドプラットフォームでホストされている資産へのアクセスを可能にする、クラウド環境のアクセス認証の侵害を目指して努力を加速している。
• 攻撃者は、クラウドサービスとオペレーショナルテクノロジー (OT) システムの融合が進んでいることを悪用し、クラウド経由で OT システムを侵害する試みをより一層強めていく。
•  攻撃者は、標的としてクラウド環境の魅力が増すほど、クラウド環境の侵害に照準を定めた、より巧妙なツールやマルウェアを開発する。

また、このレポートでは、Google Cloud Platform の顧客データの分析に基づいて 2022 年第 3 四半期におけるクラウド侵害のトップの要因と、最も頻繁に狙われたクラウドソフトウェアについて振り返っています。

クラウドのセキュリティ侵害の要因に関しては、パスワードの脆弱性が依然このカテゴリーのトップである一方で、API キーの侵害の発生が増加したと Google は指摘しています。

^{(ソース: Google のサイバーセキュリティ対応チームによる「Threat Horizons」レポート、2023 年 1 月)}

一方、Google は、最も頻繁に狙われたクラウドソフトウェアの種類には、多様化が進んだと見ています。

^{(ソース: Google のサイバーセキュリティ対応チームによる「Threat Horizons」レポート、2023 年 1 月)}

レポートについて詳しくは、Google の Senior Security Advisor である Anton Chuvakin 氏のコメントをご参照ください。

クラウドセキュリティの課題と動向については以下をご覧ください。

• Top challenges for cloud security in 2023 (SC Magazine)
• The Cloud Is Under Attack: The State of Cloud Security in 2023 (CSO Online)
• Securing 2023: Cloud security aspects that businesses need to know (Digital Journal)

動画:

Multi Cloud Security (TD Bank、 Data Analytics & Governance マネージャー、Leena Bongale 氏)

Cloud Security for Beginners: Part 1 - Starting Off in the Cloud (SANS Institute)

Zero to Hero in Managing Enterprise Cloud Security (SANS Institute)

3 - 調査: サイバーセキュリティが企業の成長に与える影響が増大

サイバーセキュリティは、企業のビジネス戦略と目標をますます左右するようになり、デジタルトランスフォーメーションやビジネスの成功に対しても徐々に大きな影響力を持つようになってきており、その役割は、テクノロジーの枠を超えて拡大しています。 

これは、コンサル企業である Deloitte のレポート「2023 Global Future of Cyber」によるものです。Deloitte は、レポートの作成にあたって 20 カ国における 1,000 人以上のサイバーセキュリティリーダーを対象に調査を実施しており、その大半は、サイバーセキュリティが事業のしくみに一段と組み込まれるようになったと回答しています。 

レポートで明らかになった主な内容を以下に示します。

• 86 % の回答者が、サイバーに注力することが事業に「多大なプラスの貢献」をもたらしたと回答。
• 70 % の回答者が、サイバーセキュリティは定期的 (毎月または四半期ごと) に取締役会の議題に上っていると回答。
• 調査対象企業の 58 % が、サイバーセキュリティへの投資拡大を予定している。

DX 戦略においてサイバーセキュリティが担う役割 (項目別)

^{(ソース: Deloitte の「2023 Global Future of Cyber」レポート、2022 年 12 月)}

では、ビジネスの成功に影響を与えるサイバー成熟度とサイバーパフォーマンスが高い企業には、どのような特徴があるのでしょうか。 Deloitte は主な要素を 3 つ挙げています。

• サイバー脅威を防止して対処するための、戦略、運用および戦術上の計画を含む、包括的なサイバー計画を実施している。
• 質的および定量的なリスク評価、業界ベンチマークの使用、インシデント対応シナリオの計画など、鍵となるサイバー活動を実施している。
• 効果的かつ一貫した方法で、取締役会と定期的な関わりがある。

また Deloitte は、事業部門ごとに少なくとも 1 名、サイバーセキュリティチームとの調整を行う担当者を配置し、企業全体にサイバーに対する責任感を根付かせることを強く推奨しています。

この調査の回答者は、従業員 1,000人以上、年間収益 5 億米ドル以上の企業の取締役レベル以上にあたるサイバー関連の意思決定者です。 

Deloitte の調査について詳しくは以下をご覧ください。

• Deloitte shows cyber to be an increasing growth enabler (Data Centre Magazine)
• Cyber increasingly a growth enabler, Deloitte study shows (Technology Magazine)
• Deloitte identifies trust as a common theme in its 2023 Tech Trends (Silicon Angle)
• Cybersecurity Drives Improvements in Business Goals (Dark Reading)

4 - 企業の IT 支出は 2023 年に減速するものの、サイバーセキュリティはその傾向に歯止めをかける

Enterprise Strategy Group (ESG) は、同社による「2023 Technology Spending Intentions Survey」の中で、IT 支出は全体として減速するものの、サイバーセキュリティを含むいくつかの分野では積極的な投資が見込まれると予測しています。 

このレポートでは、742 人の上級 IT リーダーを対象に行った調査に基づき、中規模企業および大企業の 52 % が今年は IT 支出を増加させる見込みだとしています。 

回答者は、2023 年の IT 支出の最大の推進要因として、また新しい IT プロジェクトの承認や資金調達の最もよくあるきっかけとして、サイバーセキュリティ対策拡充の必要性を挙げています。 上級 IT 意思決定者の大多数 (83 %) が、1 年前に比べてランサムウェア攻撃の対策に対する自社の準備は進んでいると述べています。

ESG の主席アナリストである Dave Gruber 氏は、この報告書の中で「犯罪行為の増加が予想されるなか、企業は社内およびサプライチェーン全体で、脆弱性管理やセキュリティ衛生などの分野に戦略的に投資する必要があるだろう」と述べています。

支出が確実に増加すると ESG が予想しているその他の分野には、人工知能やクラウドコンピューティングなどがあります。

2023 年に向けたサイバーセキュリティ支出の予測について詳しくは以下を参照してください。

• Security to take an outsized role in IT spending in 2023 (CIO Dive)
• How 2023 cybersecurity budget allocations are shaping up (CSO Online)
• Cloud security expected to drive 11.3% growth in security spending in 2023 (SC Magazine)
• New survey reveals $2 trillion market opportunity for cybersecurity (McKinsey)
• IT leaders adjust budget priorities as economic outlook shifts (CIO)

5 - 米国政府が SHA-1 の使用を取りやめる

米国National Institute of Standards and Technology (NIST) では、電子情報を保護するために SHA-1 アルゴリズムを使用しているインスタンスを特定し、SHA-2 や SHA-3 などのより新しく安全な選択肢に置き換えることを推奨しています。

SHA-1 は 1990 年代半ばから活用されてきましたが、高性能になった今日のコンピューターからの攻撃に対しては、今や脆弱です。 NIST は 2011 年にその使用を非推奨にし、2013 年にはデジタル署名での使用を禁止しました。 

そして、2030 年 12 月 31 日までに SHA-1 の使用を全面的に中止する予定です。その時点でまだ SHA-1 を使用している暗号モジュールは、米国連邦政府による購入対象ではなくなります。

詳細情報

• NIST to Retire 27-Year-Old SHA-1 Cryptographic Algorithm (SecurityWeek)
• Goodbye SHA-1: NIST Retires 27-Year-Old Widely Used Cryptographic Algorithm (The Hacker News)
• NIST Finally Retires SHA-1, Kind Of (Dark Reading)

6 - 2023 年のサイバーセキュリティに関する予測のまとめ

毎年のことですが、新年になると専門家は新たな年について大胆な予測を立てます。 年頭に打ち出された予想や知識に基づいた推測をチェックするのは毎度の楽しみなので、そのようなリンクを多数集めてみました。 

Center for Internet Security、 SC Magazine、Dark Reading、Security Magazine、The Hacker News、Beta News、VentureBeat および GovTech などで、サイバーセキュリティの未来を占ってみてください。