Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

CYBERSECURITY SNAPSHOT: 給与動向、ランサムウェアサミット、次世代 MFA

サプライチェーンにおけるサイバーセキュリティ対策、 賃金動向、ランサムウェアサミット、次世代 MFA

CISO とサイバーセキュリティ担当者の賃金動向、CISA によるフィッシング耐性 MFA の導入要請、ホワイトハウス主催のランサムウェアサミット、などのトピックの最新情報をお届けします。

11 月 4 日までの1 週間の 6 つの最重要トピックについて詳しくお伝えします。

1 – CISO が雇用主に 「給与アップ」を要求

米国とカナダにおける今年の CISO の報酬は、2021 年と比較して上昇しています。その理由は、サイバーセキュリティ関連の職務に適格な候補者が不足する中で、雇用主がその責任者をつなぎ留めるために高額の報酬を支払ったためです。

上記の内容は IANS Research and Artico Search の 2022 CISO Compensation Benchmark Report (CISO 報酬ベンチマークレポート 2022 年)に基づくもので、500 人以上の CISO を対象に調査を実施した結果、総報酬額は前年比で 15% 増加し 495,000 ドルとなったことが明らかになっています。

現在、企業が CISO を囲い込むのは非常に困難なことなのでしょうか? この調査について解説したブログ投稿によると、回答者の 42% は今後 12 か月以内の転職を積極的に検討していると回答し、24% は転職を検討する「可能性がある」と回答しました。

CISO が雇用主に 「給与アップ」を要求

(ソース: IANS Research and Artico Search「2022 CISO Compensation Benchmark Report」(2022 年 10 月))

もっと良い職場を探す CISO を誰が責められるでしょうか。 このレポートによると、転職した回答者の給与、従業員持株、ボーナスを含む総報酬は平均で 37% も上昇したのに対し、現職に残った回答者の総報酬は平均で 9% の上昇にとどまっています。

「情報に精通している CISO であれば、サードパーティによるデータを人事チームに提示して、広大な市場における競合他社の状況を知らしめることによって、自身が報酬アップという市場の流れに取り残されている現状を打破することは可能です」と Artico Search の共同設立者であり代表取締役でもある Matt Comyns 氏はブログ記事で述べています。

2022 年の CISO 報酬は増加

(ソース: IANS Research and Artico Search「2022 CISO Compensation Benchmark Report」(2022 年 10 月))

詳細情報

2 – サイバーセキュリティ担当者の給与も人材不足の恩恵を受ける

また、サイバーセキュリティ分野の人材不足の恩恵を受けているのは CISO だけではありません。 サイバーセキュリティ担当者は、概して昇給、職能開発の機会、さらにはリモートワークやフレックスタイム制などの優遇を受けています。

米国のテクノロジー人材採用マネージャー 230 人以上を対象にした Robert Half の調査によると、回答者のほぼ 3 分の 1 がサイバーセキュリティ専門家の獲得が最重要課題であると述べています。また、サイバーセキュリティ人材の獲得競争のために今よりも高い給与を準備する用意があるという回答が 33% を占めました。

人材コンサルティング会社によると、現在需要が高い 5 つの IT セキュリティ関連の職種は、システムセキュリティ管理者、ネットワークセキュリティエンジニア、システムセキュリティマネージャー、データセキュリティアナリスト、IT 監査員です。

Robert Half の「2023 Salary Guide」によると、米国でのこうした「注目度の高い」サイバーセキュリティ職の平均初任給は次のようになっています。

2022 年のサイバーセキュリティ職の給与は増加

(ソース: Robert Half「2023 Salary Guide」(2022 年 10 月))

実際、データセキュリティアナリスト職は米国の雇用市場全体で最も注目度の高い 12 の職種にランクインしています。ランキングのリストには弁護士、クラウドエンジニア、UX デザイナー、会計監査役、企業内会計士も含まれています。

採用マネージャーは、どうしたらサイバーセキュリティ専門家の採用方法を改善できるのでしょうか? Robert Half は、その秘訣について次のように述べています。 「求人情報には、必要なスキルや資格の一覧を長々と書き連ねないように。優秀である可能性の高い志願者からの応募を遠ざける一因となるからです。 学習意欲、優れた時間管理能力、意欲、決断力などのソフトスキルがあれば、仕事を通じた人材育成は可能です」

詳細情報

3 – CISA が次世代 MFA を喧伝

米国サイバーセキュリティ インフラストラクチャセキュリティ庁 (CISA) は今週、すべての企業に「フィッシング耐性」のある多要素認証 (MFA) を導入するよう要請しました。ハッカーが従来の MFA 保護方式をすり抜ける手口を巧妙化し続けているためです。

CISA は、FIDO アライアンスとワールドワイドウェブコンソーシアム (W3C) との協力により策定されたウェブベースの API である FIDO/WebAuthn 認証の導入を推奨しています。 

これは最も広く導入されている「抗フィッシング」MFA 方式であり、主要なブラウザ、オペレーティングシステム、スマートフォンなどで幅広くサポートされているものであると、CISA は新しいファクトシートで述べています。同ファクトシートでは、あまり利用されていない公開鍵インフラ (PKI) 方式についても詳述されています。

CISA は、モバイルデバイスへのプッシュ通知を利用して従来の MFA 方式のセキュリティを強化する方法に重点を置いた関連ファクトシートも公開しました。

詳細については、以下をご参照ください。

CISA によるこちらの動画もご覧ください。

4 – ホワイトハウスが世界的なランサムウェア対策サミットを主催

ホワイトハウスは今週、ランサムウェアが世界中にもたらす危険性を訴えようと、こうした有害なサイバー脅威からの防衛を全世界で強化していくことを目的とした第 2 回目の国際サミットを開催しました。

第 2 回国際ランサムウェア対策イニシアチブ (CRI) サミットには 36 か国の代表者が参加し、来年中に以下を含めたいくつかの措置を講じることに共同で合意しました。

  • 国際ランサムウェア対策タスクフォース (ICRTF) を立ち上げ、オーストラリア主導でランサムウェアグループによる違法な資金調達行為の排除に注力する。
  • 地域サイバー防衛センター (RCDC) で「フュージョン・セル」を作成し、リトアニア主導でランサムウェアの傾向と緩和手段に関するレポートを公開していく。 
  • インシデントへの対応とランサムウェア活動の阻止にあたっての戦略と、主要なランサムウェア攻撃者のプレイブックに関する詳細情報が組み込まれた「調査用ツールキット」を提供する。
  • 情報を共有し、活動を連携させることで、民間セクターと絶えず積極的に歩調を合わせていく。
  • 「警告と緩和の方策」として、主要なランサムウェア攻撃者に対する戦術、テクニック、対応手順の概要をまとめる。

詳細については、参加国の共同声明と、米国 国家安全保障担当補佐官 Jake Sullivan 氏による閉会の辞をお読みください。2 日間のサミットからのビデオ録画もこちらからご覧いただけます。

5 – 英国のサイバーセキュリティ機関が上位の脅威を特定

一方、英国では、国家サイバーセキュリティセンター (NCSC) が年次レポートの中で、ランサムウェア、サプライチェーンのセキュリティ、単純なサイバー攻撃、国家支援による脅威について強調しました。

当機関の CEO である Lindy Cameron 氏によると、サイバー脅威が多発する中で、英国のサイバーセキュリティ環境における最大の変化がロシアのウクライナ侵攻を機に生じ、NCSC ではそれに伴って英国の「社会全体」のサイバーレジリエンスを強化する「多大な努力」への取り組みが促されたとのことです。

2022 年 8 月 31 日までの 12 か月間を対象としたレポートで NCSC が強調した課題の詳細は次のとおりです。

  • Cameron 氏が英国のビジネスや企業にとって「最も深刻な脅威」と呼んだ、ランサムウェア
  • フィッシングやその他のサイバー詐欺のような、巧妙ではないが膨大な数の「コモディティ (身近なツールを使った)」サイバー犯罪
  • サイバー犯罪に使用される高性能なツールや機能が以前より広く普及し、容易にアクセスできるようになっていること
  • 攻撃者が正規のソフトウェアリリースチャネルに不正アクセスして悪意のあるコードを密かに配信することによる、ソフトウェアサプライチェーンに対する脅威
  • ロシア、イラン、北朝鮮、中国などの国家アクターからのサイバースパイ行為、破壊的なサイバー攻撃、知的財産の盗難、政治介入

また、英国に影響を及ぼしている主なサイバー脅威に対処するために NCSC がこの 12 か月間で行った活動のいくつかを以下にご紹介します。 

英国のサイバーセキュリティ機関が上位のサイバー脅威を特定

(ソース: 英国 国家サイバーセキュリティセンター「2022 Annual Review」(2022 年 10 月))

詳細については、エグゼクティブサマリーまたはレポートの全文をご一読ください。同じ内容は Cameron 氏の動画でもご覧いただけます。

6 – サンタンデール銀行が英国での「プッシュペイメント」詐欺に注目

英国にあるサンタンデール銀行の完全子会社は、同国内でのいわゆる「オーソライズドプッシュペイメント (APP)」詐欺の急増に危機感を抱き、この問題への対策に関する詳細な提案を発表しました。

サンタンデール銀行が「プッシュペイメント」詐欺に注目
(提供: 英国サンタンデール銀行)

顧客が騙されて支払いを承認してしまう APP 詐欺への対策として、英国サンタンデール銀行は以下のような推奨事項を提示しています

  • 新たなデータ共有基準を使用して、取引関連のデータポイントをさらに追加で取り込むことで、詐欺の兆候をとらえる銀行の機能を強化する
  • すべての決済サービスプロバイダーが一連の標準的な詐欺対策規則を遵守するよう要請する
  • 取引に対し、その重要度に応じてさまざまなレベルの精査を実施する
  • 通信事業者やソーシャルメディア企業といった、犯罪者が被害者への接触に利用する企業に対し、自社のプラットフォームやネットワークの監視体制を改善するよう要請する

APP 詐欺の詳細については、以下をご覧ください。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

キャンペーン価格が 2 月 28 日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加